Обнаружен банковский троян KL-Remote, управлять которым могут даже "чайники"

В конце прошедшего декабря эксперты IBM Trusteer выявили новый комплект зловредного ПО KL-Remote, который способен значительно упростить жизнь банковским кибермошенникам. По утверждению исследователей, использование KL-Remote позволит даже неопытным киберпреступникам снимать платежные данные и использовать их при проведении мошеннических транзакций. При этом, в отличие от прочих банковских зловредов, управлять KL-Remote должен сам кибермошенник.

Проникновение KL-Remote в систему происходит или через бреши на веб-сайтах или посредством троянцев-дропперов. После проникновения вредонос начинает отслеживать пользовательскую интернет-активность и как только обнаружит, что жертва является клиентов сервиса онлайн-банкинга определенных банков, то сразу отправляет кибермошеннику информацию о самом ПК и его сетевых подключениях.

Интерфейс KL-Remote позволяет преступнику отслеживать что происходит на рабочем столе зараженного ПК, а также контролировать данные клавиатурного набора. Помимо этого, вредонос позволяет направлять жертве произвольные уведомления. В частности, KL-Remote делает скриншот экрана с открытым на нем сервисом онлайн-банкинга и демонстрирует его жертве со вложенным текстовым сообщением в котором от пользователя требуют ввести авторизационную информацию, необходимые киберпреступнику для входа в аккаунт жертвы в системе интернет-банкинга.

Получив такую информацию, мошенник отправляет жертве уведомление о необходимости подождать завершения определенной операции. В это время преступник полностью захватывает контроль над компьютером жертвы и его банковским аккаунтом. При этом сам пользователь не в состоянии заметить зловредную программу, поскольку на его мониторе отображается скриншот банковского сервиса, который нельзя ни закрыть, ни просто свернуть.

Эксперты говорят, что такого рода ПО способно эффективно обходить большинство классических методов защиты, применяемых банками в целях безопасности клиентов, поскольку все зловредные действия осуществляются на ПК жертвы, который защитными системами априори признается доверенным устройством.