Forskare hittar malware-inriktning på online-börshandelsprogramvara

Säkerhetsforskare från ryska cyberbrottsutredningsföretaget Groub-IB har nyligen identifierat en ny del av skadlig kod avsedd att stjäla inloggningsuppgifter från specialiserad programvara som används för handel med aktier och andra värdepapper online.

Malware riktar sig till Internet-handelsprogram som heter QUIK och FOCUS IVonline från ryska mjukvaruutvecklingsföretag ARQA Technologies och EGAR Technology, säger grupp-IB-forskare onsdagen i ett blogginlägg.

Programvaran kan användas för handel på Moskva-börsen (MICEX), St. Petersburg-börsen, den ukrainska utbytet och andra exchan Ges. Den används också av andra mäklarfirmor som BrokerCreditService på Cypern, Otkritie i Storbritannien och Ryssland, InstaForex, samt av stora banker som Sberbank, Alfa-Bank och Promsvyazbank, Group-IB. ta bort skadlig kod från din Windows-dator]

När den installerats på en dator kontrollerar malwareprogrammet förekomsten av de riktade programmen och börjar övervaka hur användaren interagerar med dem genom att ta skärmdumpar. Det stämmer också inloggningsuppgifterna och laddar upp data till en kommando- och kontrollserver, säger grupp-IB-forskare.

Kunder ska ha standardprogram för malware installerat på sina datorer som antivirusprogram och brandväggar om de använder ekonomisk programvara, Vladimir Kurlyandchik, chef för affärsutveckling på ARQA Technologies, sa torsdagen via e-post. "Detta är vår standard rekommendation."

Kunder som misstänker att deras konton kan ha nått utan tillstånd bör omedelbart ändra sina åtkomstnycklar, sa han.

Enligt Kurlyandchik stöder QUIK-mjukvaran flera mekanismer som kan förhindra konto kapning. Detta inkluderar möjligheten att begränsa åtkomsten endast till vissa IP-adresser (Internet Protocol), samt tvåstegsautentisering via SMS eller RSA SecureID-symboler.

Klienter och mäklare kan välja det bästa alternativet som passar deras situation, säger Kurlyandchik. Mäklarfirmorna kan också använda vissa verktyg för att övervaka aktiviteten och blockera åtkomst till misstänkta IP-adresser, sade han.

Men även om sådana säkerhetsfunktioner är tillgängliga betyder det inte nödvändigtvis att alla använder dem. Det finns många sätt att extrahera pengar från online-handelskonto på grund av dåligt skydd mot bedrägerier på serverns sida, säger Andrey Komarov, chef för internationella projekt i Group-IB.

FOCUS IVonline används till exempel normalt genom en krypterad VPN (Virtual Private Network) -kanal som tillhandahålls av en rysk säkerhetsprodukt, men det räcker inte och hackare kan fortfarande enkelt missbruka programvaran, sade Komarov. Malware kan använda fjärråtkomstverktyg som VNC eller RDP för att tillåta attacker att ansluta via offrets dator.

De flesta av dessa specialiserade handelsapplikationer är väl utformade och har bra säkerhet, men de är installerade i otillförlitliga miljöer, så det är svårt att skydda dem, sade Komarov. Kundens PC-säkerhet är huvudproblemet, sa han.

Det har förekommit tidigare rapporter om hackare som äventyrar onlinemäklarekonton. De attacker som används främst av grabbers och webbinjektioner som de som ses i onlinebaserad malware, sade Komarov.

Targeting online trading konton är en del av en stor och växande trend för cyberkriminella, säger han.