Троян Eurograbber, относящийся к злополучному семейству Zeus, снова приковал к себе внимание специалистов по сетевой безопасности. Новый ботнет, построенный на базе этого излюбленного инструмента сетевых мошенников, позволил им угнать у пользователей в Европе в общей сложности 36 млн евро. Характерной и крайне неприятной особенностью ботнета является его способность обходить двухэтапную защиту онлайновых банковских сервисов, требующих от пользователя авторизации как через компьютер, так и через мобильное устройство.
Новый троян, получивший от антивирусной компании Check Point Software общее название Eurograbber, «работает» в два этапа. На первом осуществляется банальная фишинговая атака — пользователя заманивают на вредоносный сайт, с которого на его компьютер пытаются проникнуть несколько троянов семейства Zeus (конкретнее речь идёто подвидах SpyEye и CarBerp). В случае успешного заражения трояны перехватывают информацию о посещённых пользователем сайтах и пытаются встроить вредоносный код (HTML, JavaScript) в его браузер. В следующий раз, когда пользователь заходит на банковский сайт, трояны перехватывают их логины и пароли; одновременно в дело вступает JavaScript, который выводит на экран поддельный запрос на процедуру «повышения безопасности», якобы исходящий от банковского сайта с целью защиты мобильного устройства от атак. В результате злоумышленники получают в своё распоряжение ещё и телефонный номер жертвы, и информацию об операционной системе.
Эти данные используются на втором этапе атаки: со стороны злоумышленников жертве поступает текстовое сообщение со ссылкой на «ПО для шифрования данных». На деле это ZITMO (Zeus in the mobile) — разновидность Zeus для операционных систем Android и BlackBerry, который перехватывает контрольные сообщения, отправляемые банком на мобильное устройство пользователя, и переправляет их на контрольный сервер ботнета, состоящего из компьютеров, заражённых Eurograbber. Таким образом злоумышленники получают доступ к пользовательскому счёту. Съём денег осуществляется тотчас же.
По данным Check Point, средние суммы «штрафов за доверчивость» составили от 500 до 25 тысяч евро.
Eurograbber использует дыры в Adobe Flash, Java и браузерах, поэтому Check Point настоятельно рекомендует осуществлять обновления этих продуктов сразу же, как только они становятся доступными.