Forskere finner malware rettet mot aksjemarkedet programvare

Sikkerhetsforskere fra Russisk nettkriminalitetsundersøkelsesfirma Groub-IB har nylig identifisert et nytt stykke malware utviklet for å stjele påloggingsinformasjon fra spesialisert programvare som brukes til å handle aksjer og andre verdipapirer online.

Malware målretter Internett-handelsprogramvare kalt QUIK og FOCUS IVonline fra russiske programvareutviklingsfirmaer ARQA Technologies og EGAR Technology, henholdsvis, rapporterer gruppe-IB-forskere onsdag i et blogginnlegg.

Programvaren kan brukes til handel på Moskva-børsen (MICEX), St. Petersburg-utvekslingen, den ukrainske utvekslingen og andre exchan GES. Det er også brukt av andre meglerfirmaer som BrokerCreditService på Kypros, Otkritie i Storbritannia og Russland, InstaForex, samt av store banker som Sberbank, Alfa-Bank og Promsvyazbank, Group-IB.

[Videre lesing: Hvordan fjern malware fra din Windows-PC]

Når den er installert på en datamaskin, kontrollerer malware for tilstedeværelsen av målrettede applikasjoner og begynner å overvåke hvordan brukeren samhandler med dem ved å ta skjermbilder. Det stjeler også innloggingsinformasjonen og laster opp dataene til en kommando- og kontrollserver, sier konsern-IB-forskerne.

Kunder bør ha standard malware-beskyttelse installert på sine datamaskiner som antivirusprogrammer og brannmurer hvis de bruker økonomisk programvare, Vladimir Kurlyandchik, leder for forretningsutvikling ved ARQA Technologies, sa torsdag via e-post. "Dette er vår standard anbefaling."

Kunder som mistenker at deres kontoer kan ha blitt åpnet uten autorisasjon, bør umiddelbart endre tilgangsnøklene, sa han.

Ifølge Kurlyandchik støtter QUIK-programvaren flere mekanismer som kan hindre kontoen kapring. Dette inkluderer muligheten til å begrense tilgang bare til bestemte IP-adresser (Internet Protocol), samt to-trinns autentisering via SMS eller RSA SecureID-tokens.

Klienter og meglere kan velge det beste alternativet som passer for deres situasjon, sa Kurlyandchik. Meklerfirmaene kan også bruke noen verktøy for å overvåke aktivitet og blokkere tilgang til mistenkelige IP-adresser, sa han.

Selv om slike sikkerhetsfunksjoner er tilgjengelige, betyr det ikke nødvendigvis at alle bruker dem. Det er mange måter å trekke ut midler fra online handelsregnskap på grunn av dårlig beskyttelse mot svindel på serveren, sier Andrey Komarov, leder av internasjonale prosjekter i Group-IB.

FOCUS IVonline er for eksempel vanligvis brukt gjennom en kryptert VPN-kanal (Virtual Private Network) levert av et russisk sikkerhetsprodukt, men dette er ikke nok, og hackere kan fortsatt enkelt misbruke programvaren, sa Komarov. Malware kan bruke ekstern tilgang verktøy som VNC eller RDP for å tillate angripere å koble seg gjennom offerets datamaskin.

De fleste av disse spesialiserte handelsapplikasjonene er godt utformet og har god sikkerhet, men de er installert i usikre miljøer, så det er vanskelig å beskytte dem, sa Komarov. Kundens PC-sikkerhet er hovedproblemet, sa han.

Det har vært tidligere rapporter om hackere som har skadet online meglerkontoer. De angrepene som primært brukes, er å bruke grabbers og Web-injeksjoner som de som er sett på nettbasert skadelig programvare, sier Komarov.

Targeting online trading kontoer er en del av en stor og voksende trend for cyberkriminelle, sa han.