Onderzoekers vinden malware gericht op online aandelenhandel software

Beveiligingsonderzoekers van het Russische onderzoeksbureau voor cybercriminaliteit hebben onlangs een nieuw stuk malware geïdentificeerd dat is ontworpen om inloggegevens te stelen van gespecialiseerde software die wordt gebruikt voor de handel in aandelen en andere effecten. online.

De malware is gericht op internethandelsoftware genaamd QUIK en FOCUS IVonline van de Russische softwareontwikkelingsbedrijven ARQA Technologies en EGAR Technology respectievelijk, Group-IB onderzoekers zeiden woensdag in een blogpost.

De software kan worden gebruikt om te handelen op de Moscow Exchange (MICEX), de Sint-Petersburg Exchange, de Oekraïense Exchange en andere exchan Ges. Het wordt ook gebruikt door andere beursvennootschappen zoals BrokerCreditService op Cyprus, Otkritie in het Verenigd Koninkrijk en Rusland, InstaForex, maar ook door grote banken zoals Sberbank, Alfa-Bank en Promsvyazbank, zei Group-IB.

[Lees meer: ​​Hoe malware van uw Windows-pc verwijderen]

Eenmaal geïnstalleerd op een computer, controleert de malware de aanwezigheid van de doeltoepassingen en begint deze te volgen hoe de gebruiker met hen omgaat door schermafbeeldingen te maken. Het steelt ook de inloggegevens en uploadt de gegevens naar een opdracht- en besturingsserver, aldus de onderzoekers van Group-IB.

Klanten moeten standaard malwarebescherming op hun computers installeren, zoals antivirusprogramma's en firewalls als ze financiële software gebruiken. Vladimir Kurlyandchik, hoofd business development bij ARQA Technologies, zei donderdag via e-mail. "Dit is onze standaardaanbeveling."

Klanten die vermoeden dat hun account mogelijk zonder toestemming is geopend, moeten hun toegangssleutels onmiddellijk wijzigen, zei hij.

Volgens Kurlyandchik ondersteunt de QUIK-software verschillende mechanismen die een account kunnen voorkomen kaping. Dit omvat de mogelijkheid om alleen toegang te beperken tot bepaalde IP-adressen (Internet Protocol) en authenticatie in twee stappen via SMS of RSA SecureID-tokens.

Klanten en tussenpersonen kunnen de beste optie kiezen die geschikt is voor hun situatie, zei Kurlyandchik. De beursvennootschappen kunnen ook enkele hulpmiddelen gebruiken om activiteiten te controleren en de toegang tot verdachte IP-adressen te blokkeren, zei hij.

Zelfs als dergelijke beveiligingsfuncties beschikbaar zijn, betekent dit niet noodzakelijk dat iedereen ze gebruikt. Er zijn veel manieren om geld van online handelsaccounts te extraheren vanwege slechte anti-fraudebescherming aan de serverzijde, zei Andrey Komarov, het hoofd van internationale projecten bij Group-IB. FOCUS IVonline wordt bijvoorbeeld normaal gesproken gebruikt door een gecodeerd VPN (Virtual Private Network) kanaal geboden door een Russisch beveiligingsproduct, maar dit is niet genoeg en hackers kunnen nog steeds gemakkelijk misbruik maken van de software, zei Komarov. De malware kan hulpprogramma's voor externe toegang gebruiken, zoals VNC of RDP, zodat aanvallers verbinding kunnen maken via de computer van het slachtoffer.

De meeste van deze gespecialiseerde handelsapplicaties zijn goed ontworpen en hebben een goede beveiliging, maar ze zijn geïnstalleerd in niet-vertrouwde omgevingen, dus het is moeilijk om bescherm hen, zei Komarov. De pc-beveiliging van de klant is het belangrijkste probleem, zei hij.

Er zijn eerdere meldingen geweest van hackers die online brokerage-accounts in gevaar brachten. Die aanvallen maakten voornamelijk gebruik van vormgrijpers en webinjecties zoals die worden gezien in malware voor internetbankieren, zei Komarov.

Het richten van online handelsaccounts maakt deel uit van een grote en groeiende trend voor cybercriminelen, zei hij.