Windows

Forscher finden Malware auf Online-Aktienhandelssoftware

Kurz informiert vom 17.8.2017: Handy-Malware, Cloudflare vs. Neonazis, Nokia 8, App gegen Sucht

Kurz informiert vom 17.8.2017: Handy-Malware, Cloudflare vs. Neonazis, Nokia 8, App gegen Sucht
Anonim

Die Sicherheitsforscher des russischen Unternehmens Groub-IB haben kürzlich eine neue Malware identifiziert, die Anmeldedaten von spezialisierter Software zum Handel mit Aktien und anderen Wertpapieren entwendet Die Malware zielt auf die Internethandelssoftware QUIK und FOCUS IVonline von den russischen Softwareentwicklungsfirmen ARQA Technologies und EGAR Technology ab, sagten die Forscher der Group-IB am Mittwoch in einem Blogbeitrag.

Die Software kann zum Handeln verwendet werden an der Moskauer Börse (MICEX), der Sankt Petersburger Börse, der Ukrainischen Börse und anderen Börsen ges. Es wird auch von anderen Brokerfirmen wie BrokerCreditService in Zypern, Otkritie in Großbritannien und Russland, InstaForex, sowie von großen Banken wie Sberbank, Alfa-Bank und Promsvyazbank verwendet, sagte Group-IB.

[Lesen Sie weiter: Wie? Malware von Ihrem Windows-PC entfernen]

Sobald die Malware auf einem Computer installiert ist, prüft sie, ob die gewünschten Anwendungen vorhanden sind und beginnt mit der Überwachung, wie der Benutzer mit ihnen interagiert, indem sie Screenshots erstellt. Es stehlen auch die Anmeldeinformationen und lädt die Daten auf einen Befehls- und Kontrollserver, sagten die Group-IB-Forscher.

Kunden sollten Standard-Malware-Schutz auf ihren Computern wie Antivirus-Programme und Firewalls installiert haben, wenn sie Finanzsoftware verwenden, Vladimir Kurlyandchik, Leiter der Geschäftsentwicklung bei ARQA Technologies, sagte am Donnerstag per E-Mail. "Dies ist unsere Standardempfehlung."

Kunden, die vermuten, dass ihre Konten möglicherweise unberechtigt aufgerufen wurden, sollten sofort ihre Zugangsschlüssel ändern.

Laut Kurlyandchik unterstützt die QUIK-Software mehrere Mechanismen, die Konten verhindern können Entführung. Dazu gehört die Möglichkeit, den Zugriff nur auf bestimmte IP-Adressen (Internet Protocol) zu beschränken, sowie die zweistufige Authentifizierung per SMS oder RSA SecureID-Token.

Kunden und Broker können die für ihre Situation geeignete Option auswählen, so Kurlyandchik. Die Brokerfirmen könnten auch einige Tools verwenden, um Aktivitäten zu überwachen und den Zugriff auf verdächtige IP-Adressen zu blockieren, sagte er.

Aber selbst wenn solche Sicherheitsfunktionen verfügbar sind, bedeutet dies nicht unbedingt, dass sie von allen genutzt werden. Es gibt viele Möglichkeiten, Gelder aus Online-Trading-Konten wegen der schlechten Anti-Betrugsschutz auf der Serverseite zu extrahieren, sagte Andrey Komarov, der Leiter der internationalen Projekte bei Group-IB.

Zum Beispiel wird FOCUS IVonline normalerweise durch eine verschlüsselte VPN (Virtual Private Network) -Kanal von einem russischen Sicherheitsprodukt zur Verfügung gestellt, aber das ist nicht genug und Hacker können immer noch leicht die Software missbrauchen, sagte Komarov. Die Malware kann Remote-Zugriffs-Tools wie VNC oder RDP verwenden, um Angreifern eine Verbindung über den Computer des Opfers zu ermöglichen.

Die meisten dieser spezialisierten Handelsanwendungen sind gut entworfen und haben eine gute Sicherheit, aber sie werden in nicht vertrauenswürdigen Umgebungen installiert beschütze sie, sagte Komarow. Der PC-Sicherheit des Kunden sei das Hauptproblem, sagte er.

Es gab frühere Berichte von Hackern, die Online-Brokerkonten kompromittieren. Laut Komarov wurden bei diesen Angriffen vor allem Form-Grabber und Web-Injects eingesetzt, wie sie in der Online-Banking-Malware zu finden sind.

Die Ausrichtung auf Online-Handelskonten ist Teil eines großen und wachsenden Trends für Cyberkriminelle