Создатель троянца haxdoor рассказал о своем творении

Журналисту Computer Sweden Линусу Ларссону (Linus Larsson) удалось побеседовать с русскоязычным создателем заказного троянца haxdoor, который использовался в недавней кампании против клиентов шведского банка Nordea.

Создателя банковского троянца удалось вычислить с помощью одного из экспертов по безопасности компании Symantec. В интервью с вирусописателем Ларссон фигурировал под вымышленным именем и вел переговоры как потенциальный покупатель троянской программы. Хакер разговаривал на ломаном английском и назвался Corpse («труп»).

В ходе беседы Corpse подтвердил, что для атаки на банк Nordea использовался разработанный им специализированный троянец haxdoor, который он продает под именем A311 Death, а также его версия без бэкдора Nuclear Grabber. По его данным, haxdoor использовался и в атаках против австралийских и многих других банков, более подробную информацию Ларссону получить не удалось. Corpse утверждает, что 99% атак на банковские структуры не предаются широкой огласке, чтобы не отпугивать банковскую клиентуру.

Обычно состояние взломанных банковских счетов злоумышленникам неизвестно, так как фишерские электронные письма с троянской «начинкой» рассылаются наугад. Для обхода антивирусных программ некоторые версии haxdoor используют руткиты и другие защитные средства. По словам Corpse, антивирус Norman, который Nordea бесплатно устанавливает на машинах своих клиентов, является малоэффективным средством защиты от его версии haxdoor.

Троянец haxdoor был предложен Ларссону за 3000 долларов. Стандартный графический интерфейс позволяет специализировать его для атаки на конкретную банковскую структуру. Форма поставки – файл .rar или .zip. Вирус ориентирован на Windows всех последних версий, начиная с Windows 98 и включая Vista. Он активируется с появлением ключевой фразы на веб-странице, например, «временный код 1». Скрипты для сбора персональной информации банковских клиентов инсталлируются с помощью «службы технической поддержки», в данном случае самого Corpse, по получении оплаты и доставке троянской программы заказчику.

Техническая поддержка входит в сумму оплаты за вредоносный продукт. Corpse даже предложил предоставить Ларссону серверы в Китае, Европе или США – но не в России – для хранения похищенной пользовательской информации за 150 долларов в месяц. Проблемы личной безопасности, равно как и безопасности его клиентов, не волнуют вирусописателя. Он посоветовал Ларссону использовать виртуальную сетьVPN или протокол Socks и в заключение сообщил, в какое время с ним можно связаться в Интернете.

Источник: computerworld.com