Dr.Web предупреждает о новом вредоносном коде для взлома систем ДБО
В начале января 2012 г. в распоряжении специалистов Dr.Web
оказался образец очередной модификации вредоносной программы Trojan.PWS.Ibank, отвечающей
современным тенденциям использования систем ДБО. Эта программа позволяет
передавать злоумышленникам аутентификационные данные, ключи и сведения о
конфигурации множества различных банк-клиентов. Особенность данной модификации вредоносного
кода заключается в том, что она содержит в себе реализацию VNC-сервера. В коде
сервера организована поддержка протокола работы с dedicated-сервером Zeus
(Trojan.PWS.Panda), через который осуществляется сеанс удаленного управления.
Другая немаловажная особенность Trojan.PWS.Ibank –
присутствие модуля, предназначенного для мониторинга и перехвата информации
специализированного программного комплекса, используемого в одном из
государственных финансовых учреждений России. Данный код имеет достаточно сложную
архитектуру и позволяет не только передавать перехваченные данные
злоумышленникам, но также выполнять на инфицированной машине различные команды,
поступающие от удаленного центра, в том числе команды уничтожения операционной
системы. Подробная техническая информация о структуре и принципе действия
данного вредоносного ПО была своевременно передана компанией Dr.Web в
правоохранительные органы.
Примерно в это же время были зафиксированы случаи
распространения другой вредоносной программы, с помощью которой злоумышленники
планировали провести фишинговую атаку на клиентов одного из российских банков.
Попадая на компьютер жертвы, Trojan.Hosts.5590 создает новый процесс
explorer.exe и помещает туда собственный код, а затем прописывает себя в папке
автоматического запуска приложений под именем Eldesoft.exe.
В случае если для доступа к web-сайту банка используется браузер
Microsoft Internet Explorer, Trojan.Hosts.5590 вызывает стандартную функцию
crypt32.dll для установки поддельного сертификата. При добавлении сертификата в
хранилище операционная система обычно демонстрирует соответствующее
предупреждение: вредоносный код перехватывает и закрывает это окно.
Если для доступа к банковскому web-сайту используется другой браузер,
для установки сертификата применяются функции из стандартной библиотеки
nss3.dll. Связавшись с удаленным командным центром, Trojan.Hosts.5590 получает
оттуда конфигурационный файл, содержащий IP-адрес фишингового сервера и имена
доменов, которые код должен подменять. Впоследствии, при обращении к web-сайту системы банк-клиент по
протоколу HTTPS, пользователю будет демонстрироваться поддельная web-страница, а введенные им в форме
авторизации учетные данные будут переданы злоумышленникам. Благодаря
своевременным и грамотным действиям службы безопасности банка, а также усилиям
специалистов компании Dr.Web, данная вредоносная программа в настоящий момент
не представляет серьезной опасности для пользователей.
Ознакомиться с другими новостями по данной тематике Вы можете в
рубрике Безопасность
По материаламDr.Web