Peneliti menemukan malware yang menargetkan perangkat lunak perdagangan saham online

Peneliti keamanan dari penyelidik kejahatan cyber Rusia perusahaan Groub-IB baru-baru ini mengidentifikasi malware baru yang dirancang untuk mencuri kredensial masuk dari perangkat lunak khusus yang digunakan untuk memperdagangkan saham dan sekuritas lainnya online.

Malware menargetkan perangkat lunak perdagangan Internet yang disebut QUIK dan FOCUS IVonline dari perusahaan pengembangan perangkat lunak Rusia, ARQA Technologies dan EGAR Technology, masing-masing, peneliti Grup-IB mengatakan Rabu di sebuah posting blog.

Perangkat lunak ini dapat digunakan untuk berdagang di Moskow Exchange (MICEX), Saint Petersburg Exchange, Bursa Ukraina dan exchan lainnya ges. Ini juga digunakan oleh perusahaan pialang lain seperti BrokerCreditService di Siprus, Otkritie di Inggris dan Rusia, InstaForex, serta oleh bank-bank besar seperti Sberbank, Alfa-Bank dan Promsvyazbank, Group-IB mengatakan.

[Bacaan lebih lanjut: Cara hapus malware dari PC Windows Anda]

Setelah diinstal di komputer, malware memeriksa keberadaan aplikasi yang ditargetkan dan mulai memantau bagaimana pengguna berinteraksi dengan mereka dengan mengambil tangkapan layar. Ini juga mencuri kredensial login dan mengunggah data ke server perintah dan kontrol, kata peneliti Grup-IB.

Pelanggan harus memiliki perlindungan standar malware yang dipasang di komputer mereka seperti program antivirus dan firewall jika mereka menggunakan perangkat lunak keuangan, Vladimir Kurlyandchik, kepala pengembangan bisnis di ARQA Technologies, mengatakan Kamis melalui email. "Ini adalah rekomendasi standar kami."

Pelanggan yang menduga bahwa akun mereka mungkin telah diakses tanpa otorisasi harus segera mengubah kunci akses mereka, katanya.

Menurut Kurlyandchik, perangkat lunak QUIK mendukung beberapa mekanisme yang dapat mencegah akun pembajakan. Ini termasuk kemampuan untuk membatasi akses hanya ke alamat IP (Internet Protocol) tertentu, serta otentikasi dua langkah melalui token SMS atau RSA SecureID.

Klien dan broker dapat memilih opsi terbaik yang sesuai untuk situasi mereka, kata Kurlyandchik. Perusahaan-perusahaan pialang juga dapat menggunakan beberapa alat untuk memantau aktivitas dan memblokir akses ke alamat IP yang mencurigakan, katanya.

Namun, bahkan jika fitur keamanan tersebut tersedia, itu tidak berarti bahwa setiap orang menggunakannya. Ada banyak cara untuk mengambil dana dari akun perdagangan online karena perlindungan anti-penipuan yang buruk di sisi server, kata Andrey Komarov, kepala proyek internasional di Grup-IB.

Misalnya, FOCUS IVonline biasanya digunakan melalui VPN terenkripsi (Virtual Private Network) saluran yang disediakan oleh produk keamanan Rusia, tetapi ini tidak cukup dan peretas masih dapat dengan mudah menyalahgunakan perangkat lunak, Komarov mengatakan. Malware ini dapat menggunakan alat akses jarak jauh seperti VNC atau RDP untuk memungkinkan penyerang terhubung melalui komputer korban.

Sebagian besar aplikasi perdagangan khusus ini dirancang dengan baik dan memiliki keamanan yang baik, tetapi mereka dipasang di lingkungan yang tidak dapat dipercaya, sehingga sulit untuk melindungi mereka, Komarov berkata. Keamanan PC pelanggan adalah masalah utama, katanya.

Ada laporan sebelumnya tentang peretas yang mengorbankan akun broker online. Serangan-serangan itu terutama menggunakan perampasan formulir dan suntikan Web seperti yang terlihat dalam malware perbankan online, Komarov mengatakan.

Menargetkan akun perdagangan online adalah bagian dari tren besar dan sedang berkembang untuk penjahat dunia maya, katanya.