Pierwsze oznaki kampanii odkryto 20 stycznia tego roku, gdy eksperci z Kaspersky Lab wykryli cyberprzestępczy serwer kontroli. Panel kontroli serwera wskazywał na dowód wykorzystania programu trojańskiego do kradzieży pieniędzy z kont bankowych klientów. Na serwerze eksperci wykryli również dane o transakcjach zawierające informacje o tym, jakie kwoty zostały pobrane z poszczególnych kont. Ogólnie, zidentyfikowano 190 ofiar, większość z nich we Włoszech oraz Turcji. Kwoty skradzione z kont bankowych, według znalezionych danych, wynosiły od 1 700 do 39 000 euro.
W momencie wykrycia centrum kontroli kampania trwała już co najmniej od roku – rozpoczęła się nie później niż 13 stycznia 2014 r. W tym czasie cyberprzestępcy zdołali ukraść ponad 500 000 euro. Dwa dni po wykryciu serwera przez zespół Kaspersky Lab przestępcy usunęli wszelkie ślady, które mogłyby do nich doprowadzić. Jednak eksperci uważają, że ma to prawdopodobnie związek ze zmianami w infrastrukturze technicznej wykorzystanej w szkodliwej działalności i nie zapowiada końca kampanii The Luuuk.
Wykorzystane szkodliwe narzędzia
W przypadku The Luuuk, eksperci mają podstawę sądzić, że przechwytywanie danych finansowych i oszukańcze transakcje miały miejsce natychmiast po zalogowaniu się użytkownika do swojego konta bankowego online.
“Na serwerze kontroli nie znaleźliśmy żadnej informacji wskazującej, jaki konkretny szkodliwy program został wykorzystany w tej kampanii. Jednak wiele istniejących wariantów Zeusa (Citadel, SpyEye, IceIX itd.) posiada tę niezbędną funkcję. Uważamy, że szkodliwym programem wykorzystanym w kampanii mogła być odmiana Zeusa wykorzystująca wyrafinowane metody wstrzykiwania sieciowego” – powiedział Vicente Diaz, główny badacz ds. bezpieczeństwa, Kaspersky Lab.
Skradzione pieniądze zostały przekazane na konta oszustów w interesujący sposób. Eksperci z Kaspersky Lab zauważyli nietypową metodę zorganizowania pracy słupów polegającą na tym, że osoby biorące udział w oszustwie otrzymują część skradzionych pieniędzy za pośrednictwem specjalnie utworzonych do tego celu kont bankowych i wypłacają je z bankomatów. Pojawiły się dowody istnienia kilku różnych grup słupów, z których każdej przydzielono inną kwotę. Jedna z grup miała dokonać transferu kwot w wysokości 40-50 000 euro, inna – 15-20 000 euro, trzecia natomiast – nie więcej niż 2 000 euro.
“Te różnice w wysokości kwoty powierzonej poszczególnym słupom mogą odzwierciedlać różne stopnie zaufania wobec każdej grupy. Wiemy, że członkowie takich szajek często oszukują swoich wspólników i uciekają z pieniędzmi, które mieli wypłacić. Szefowie kampanii The Luuuk mogą próbować zabezpieczyć się przed takimi stratami poprzez tworzenie różnych grup w zależności od poziomu zaufania: im większą kwotą pieniędzy ma obracać słup, tym większym musi cieszyć się zaufaniem” – komentuje Vicente Diaz.
Serwer kontroli związany z kampanią The Luuuk został zamknięty wkrótce po rozpoczęciu dochodzenia, jednak poziom złożoności operacji sugeruje, że osoby atakujące nadal będą szukały nowych ofiar. Eksperci z Kaspersky Lab w dalszym ciągu prowadzą dochodzenie w sprawie aktywności The Luuuk.