ФСБ накрыла хакерскую группировку, работавшую с банкером Lurk

МВД и ФСБ России пресекли деятельность группы, укравшей свыше 3 млрд. руб. со счетов россиян и других жителей бывшего СНГ с помощью троянца-банкера Lurk. В ходе совместной операции было задержано 50 подозреваемых, произведено 86 обысков, предотвращено хищение более 2 млрд. рублей. В отношении задержанных возбуждено уголовное дело в соответствии с ч. 1 и 2 ст. 210 УК РФ.

Lurk примечателен, прежде всего, тем, что во избежание детектирования использует бесфайловый метод заражения – не сохраняется на диске и запускается непосредственно из памяти. Также нетипична его избирательность: Lurk атакует лишь машины, имеющие выход на системы онлайн-банкинга: iBank 2, используемую многими российскими банками, или собственные ДБО крупных кредитно-финансовых организаций. Таргетированные атаки объясняют относительную скромность популяции данного троянца: несмотря на пять лет его существования, Lurk сумел заразить менее 60 тыс. машин, – однако это также позволяет ему действовать, не привлекая внимания аналитиков и исследователей.

Распространяется Lurk разными способами: через drive-by загрузки с участием резиректоров и эксплойт-пака Angler; посредством взлома и заражения сайтов; с помощью утилиты удаленного управления PsExec (облегченного варианта Telnet), если хакерам удалось проникнуть в локальную сеть. В первом случае редиректоры на лендинг-страницы Angler устанавливаются на новостных сайтах, тематика которых может интересовать бухгалтеров. По свидетельству «лаборантов», эти ссылки трудно отследить и заблокировать, так как они ставятся на короткое время либо попеременно появляются и исчезают. Такие редиректоры были в свое время обнаружены, например, на сайтах РИА Новости и Gazeta.ru. Злоумышленников также интересуют ресурсы телекоммуникационных компаний: на них можно поднять промежуточные серверы для связи ботов и C&C.

Анализ показал, что Lurk – творение нескольких авторов, в том числе профессионалов. Он состоит из нескольких модулей: дроппера mini, динамически загружаемой библиотеки prescanner, используемой для оценки пригодности мишени; основного модуля core и 64-битных версий core и mini. Если зараженный ПК не представляет интереса для злоумышленников, mini и prescanner завершают свои процессы и самоудаляются. Если цель признана годной, mini внедряет плагин – ibank или скриптовые веб-инжекты для браузера, в зависимости от профиля, составленного prescanner. Согласно «Лаборатории», в арсенале Lurk есть плагины для Internet Explorer, Firefox, Chrome и Opera, при этом в число атакованных мишеней вошли практически «все крупные российские банки, в том числе четыре крупнейших».

Модуль core отвечает, в числе прочего, за всю связь зловреда с C&C, вычисляя его с помощью DGA. Примечательно, что в качестве основных входных параметров этот алгоритм использует мало известные данные, – к примеру, биржевые котировки, полученные с Yahoo Finance, поэтому предсказать выход практически невозможно.

Особо исследователи отметили новые функции основного модуля: кейлоггер и запись видеопотока с экрана. Функция перехвата клавиатурного ввода выполняется лишь при наличии ключевых слов или фраз в названии окна, их список Lurk получает с C&C. Также заслуживают внимания дополнительные плагины, обеспечивающие удаленный доступ по VNC и RDP.