На вооружении злоумышленников, орудующих в Восточной Европе появился новый троян, получивший название OddJob. Вирус, нацеленный на компьютеры под управлением ОС Windows, сейчас активно используется для похищения денег с американских и польских счетов, перехватывая управление над сессиями онлайн-банкинга в момент их закрытия пользователем.
Пока точно неизвестно, клиенты каких именно банков рискуют потерять сбережения, насколько распространена угроза. Похоже, это только ранние версии вируса, в будущем он будет еще не раз совершенствоваться – проводимые компанией Trusteer исследования показывают, что за последнюю пару месяцев троян активно развивался, наращивая функционал.
На данный момент OddJob, помимо мониторинга сайтов, внедрения кода и ведения журналов GET и POST запросов, уже умеет вклиниваться в открытые банковские сессии пользователей в реальном времени, красть коды доступа, в том числе и mTAN-коды, открывать собственные сессии без ведома пользователя. Компания Trusteer уже проинформировала об OddJob американские и европейские банки, так что борьба с вирусом уже началась.
OddJob интегрирует себя в Internet Explorer и Firefox и работает по принципу перехвата данных, отсылаемых этими браузерами. Когда клиент заходит на сайт онлайн-банка, троян тоже получает токен. В момент закрытия пользователем сессии самостоятельно перехватывает запрос и не разрывает соединение. Со стороны пользователя все выглядит как обычно, ничего не указывает на участие вредоносной программы, в то время как троян получает полный доступ к его счету.
Для того чтобы избежать обнаружения антивирусами, троян не сохраняет себя на жестком диске жертвы, а каждый раз скачивается через командный выделенный сервер. Через него же идут и обновления OddJob – новая версия выходит практически каждую неделю и сразу появляется на всех зараженных компьютерах.
Для обеспечения надежной работы в сети эксперты рекомендуют обычный в подобных случаях набор действий: регулярно устанавливать свежие патчи и обновления, не переходить по подозрительным ссылкам и использовать комплексные системы информационной безопасности, включающие в себя проактивную защиту, способную при правильной настройке противостоять даже самым новым угрозам. Также компания Trusteer, занимающаяся исследованием трояна, заверяет, что ее ПО Rapport уже умеет его эффективно блокировать.