Egy orosz biztonsági cég számolt be arról honlapján, hogy egy új kártékony programot, egy malware-t fedeztek fel, melyet arra írtak, hogy a támadók két speciális, a tőzsdei műveletekhez használatos szoftvert figyelve jussanak hozzá bizalmas adatokhoz.

A Group-IB nem túl részletes jelentése szerint a különleges malware-t 2012 novembere óta használják bűnözők. Míg a kiberbűnözők általában olyan kártékony programokat fejlesztenek, amelyek egyének és vállalatok banki adatait igyekeznek megszerezni, a biztonsági cég által megtalált malware nem ilyen: a windowsos gépekre írt, banki adatokra utazó Ranbyus kémprogram variánsa két különleges szoftvert keres és támad. Az egyik az orosz ARQA Technologies által fejlesztett QUIK (Quik Broker, Quik Dealer), a másik egy New York-i székhelyű cég, az EGAR Technology terméke, a FOCUS IVonline. Ezeket a megoldásokat több orosz bank is használja a vezető orosz tőzsdén, a MICEX-en a kereskedelem digitális lebonyolításához, vagyis az alkalmazások gyakorlatilag az összes bizalmas adatot kezelik, amelyek létfontosságúak a tőzsdei kereskedésben.

A biztonsági cég szakemberei szerint a malware hasonlóan működik, mint a hatalmas karriert befutott, szintén adatlopásra tervezett Zeus, a távoli hozzáférésre szolgáló VNC-t használja fel, hogy csatlakozzon a fertőzött számítógépekhez, majd ott teljesen észrevétlenül végzi a munkáját: ha észleli az említett szoftvereket, akkor monitorozza a felhasználói aktivitást, majd az adatokat elküldi a készítőknek.