"Троян-франкенштейн" терроризирует банки Японии

Автор

Корреспонденты The Register сообщают, что в Японии свирепствует опасный троян, направленный против банковской системы страны.

Местные СМИ окрестили его как Shifu, что в переводе с японского означает «вор». По сводкам специалистов безопасности IBM X-Force, вредоносное ПО нацелено против 14 местных банков и платежных терминалов, разбросанных по всей Европе.

Примечательной особенностью Shifu является то, что его авторы явно черпали вдохновение из знаменитого произведения о докторе Франкенштейне и его чудовище: троян скроен из фрагментов кода других известных «зловредов», таких как Shiz, Gozi, Zeus и Dridex. Это позволило ему унаследовать их отличительные особенности: так, обфускация и защита от исследования досталась от ZeuS, а стелс-технология была позаимствована у Gozi.

Исследовательская группа IBM X-Force во главе со старшим специалистом по информационной безопасности Этаем Маором (Etay Maor), которая ведет расследование по делу Shifu, выдвинула предположение, что заражение трояном происходит в ходе спланированной спам-кампании. После проникновения в банковскую систему «вор» начинает собирать пароли, данные клиентских счетов, а также внешние токены для аутентификации в некоторых банковских приложениях.

Любопытно, что Shifu устанавливается с особой системой защиты, препятствующей проникновению в систему других вредоносных ПО, — таким способом троян ограждает себя от «конкурентов», что позволяет ему сохранять полный контроль над зараженной средой. Анализ кода Shifu, проведенный специалистами X-Force, выявил наличие комментариев на русском языке, что может свидетельствовать о том, что программа была написана на территории постсоветского пространства.