Ricercatori scoprono malware destinati al software di compravendita di titoli online

I ricercatori di sicurezza della società di indagini sui criminali informatici russi Groub-IB hanno recentemente identificato un nuovo malware progettato per rubare credenziali di accesso da software specializzato utilizzato per negoziare azioni e altri titoli online.

Il malware prende di mira il software di trading su Internet chiamato QUIK e FOCUS IVonline dalle società di sviluppo software ARQA Technologies e EGAR Technology, rispettivamente, i ricercatori del gruppo IB hanno detto mercoledì in un post sul blog.

Il software può essere utilizzato per il trading sulla Borsa di Mosca (MICEX), la Borsa di San Pietroburgo, la Borsa ucraina e altri scambi GES. È utilizzato anche da altre società di brokeraggio come BrokerCreditService a Cipro, Otkritie nel Regno Unito e Russia, InstaForex, nonché da grandi banche come Sberbank, Alfa-Bank e Promsvyazbank, ha detto Group-IB.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Una volta installato su un computer, il malware controlla la presenza delle applicazioni mirate e inizia a monitorare il modo in cui l'utente interagisce con loro prendendo le schermate. Ruba anche le credenziali di accesso e carica i dati su un server di comando e controllo, hanno detto i ricercatori di Group-IB.

I clienti dovrebbero avere una protezione da malware standard installata sui loro computer come programmi antivirus e firewall se usano software finanziario, Vladimir Kurlyandchik, responsabile dello sviluppo commerciale di ARQA Technologies, ha dichiarato giovedì via email. "Questa è la nostra raccomandazione standard".

I clienti che sospettano l'accesso ai loro account senza autorizzazione dovrebbero immediatamente cambiare le loro chiavi di accesso, ha detto.

Secondo Kurlyandchik, il software QUIK supporta diversi meccanismi che possono impedire l'account dirottamento. Ciò include la possibilità di limitare l'accesso solo a determinati indirizzi IP (Internet Protocol), nonché l'autenticazione in due passaggi tramite SMS o token RSID SecureID.

I clienti e i broker possono scegliere l'opzione migliore adatta alla loro situazione, ha detto Kurlyandchik. Le società di brokeraggio possono anche utilizzare alcuni strumenti per monitorare l'attività e bloccare l'accesso a indirizzi IP sospetti, ha detto.

Tuttavia, anche se tali funzionalità di sicurezza sono disponibili, non significa necessariamente che tutti le stanno utilizzando. Ci sono molti modi per estrarre fondi dai conti di trading online a causa della scarsa protezione antifrode da parte dei server, ha detto Andrey Komarov, responsabile dei progetti internazionali al Group-IB.

Ad esempio, FOCUS IVonline viene normalmente utilizzata attraverso un canale crittografato VPN (Virtual Private Network) fornito da un prodotto di sicurezza russo, ma questo non è sufficiente e gli hacker possono ancora facilmente abusare del software, ha detto Komarov. Il malware può utilizzare strumenti di accesso remoto come VNC o RDP per consentire agli aggressori di connettersi attraverso il computer della vittima.

La maggior parte di queste applicazioni di trading specializzate sono ben progettate e hanno una buona sicurezza, ma sono installate in ambienti non fidati, quindi è difficile proteggili, disse Komarov. La sicurezza del PC del cliente è il problema principale, ha detto.

Ci sono state segnalazioni precedenti di hacker che compromettevano i conti di intermediazione online. Questi attacchi sono stati utilizzati principalmente da grabber e Web inject come quelli visti nel malware bancario online, ha detto Komarov.

Targeting di conti di trading online fa parte di una tendenza crescente e crescente per i criminali informatici, ha detto.