Czesi na celowniku wirtualnego złodzieja bankowego!

13 września, 2013

Eksperci z laboratorium antywirusowego firmy ESET zidentyfikowali nowego konia trojańskiego o nazwie Hesperbot. Zagrożenie, podobnie jak osławiony Zeus, potrafi skutecznie wykradać pieniądze z kont bankowych nieostrożnych internautów, posiłkując się przy tym specjalną aplikacją mobilną. Zebrane informacje pozwalają przypuszczać, że najdotkliwsze straty finansowe, na skutek działania Hesperbota, odnieśli nasi południowi sąsiedzi – Czesi. Jednak nie tylko oni znaleźli się na celowniku tego zagrożenia.

Hesperbot został wykryty przez firmę ESET pod koniec sierpnia. Jak podkreśla Robert Lipovsky, analityk zagrożeń z firmy ESET, zagrożenie to, podobnie jak osławiony Zeus, jest tzw. trojanem bankowym – czyli złośliwym programem, którego głównym celem jest kradzież pieniędzy z kont bankowych swoich ofiar. Do rozprzestrzeniania się w sieci Hesperbot wykorzystuje sprawdzony wśród cyberprzestępców sposób –wiadomość phishingową. Potencjalna ofiara otrzymuje e-mail, który zawiera zainfekowany załącznik. Należy podkreślić, że same wiadomości imitują komunikaty wysyłane przez instytucje znane i szanowane w kraju konkretnej ofiary. Przykładowo w Czechach wiadomość phishingowa zawierająca Hesperbota wygląda jak powiadomienie z tamtejszego urzędu pocztowego. Z kolei sam załącznik do takiej wiadomości podszywa się pod dokument PDF z informacją o statusie doręczenia przesyłki. W rzeczywistości to plik wykonywalny – „zasilka.pdf.exe” („zasilka” w języku czeskim oznacza przesyłkę). Nieostrożne kliknięcie w załącznik inicjuje infekcję.

Eksperci z firmy ESET zwracają uwagę, że Hesperbot znalazł sposób na obejście mechanizmu autoryzującego przelewy za pomocą jednorazowych kodów SMS. Otóż komputer zainfekowany wspomnianym koniem trojańskim, podczas łączenia się z witryną banku, wyświetla swojej ofierze informację o konieczności zainstalowania specjalnej aplikacji mobilnej. Ofiara musi jedynie wskazać, w wyświetlonym oknie, model wykorzystywanego smartfona oraz podać numer swojego telefonu. Chwilę później użytkownik otrzymuje wiadomość z linkiem, za pomocą którego może pobrać i zainstalować złośliwy komponent na swoim smartfonie. Pobrana aplikacja, przygotowaną dla systemów Android, Symbian oraz Blackberry, przechwytuje wszystkie wiadomości SMS od banku użytkownika i automatycznie przesyła je do cyberprzestępcy. W ten oto sposób Hesperbot zdobywa najważniejsze dane, niezbędne do skutecznego wykradania pieniądze z kont bankowych swoich ofiar – jednorazowe hasła SMS.

Sama infekcja, jak opisują eksperci z firmy ESET, przebiega wielotorowo. Na komputerze użytkownika uruchamiany jest m.in. serwer proxy, czyli serwer pośredniczący w każdym połączeniu użytkownika z Internetem. Logowanie się do internetowego konta bankowego, za pośrednictwem komputera, na którym taki serwer proxy działa, jest wyjątkowo niebezpieczne. Dlaczego? Dlatego, że wszystkie informacje przesyłane przez nieświadomego zagrożenia użytkownika zamiast trafiać bezpośrednio do banku, najpierw przechodzą przez wspomniany serwer proxy. Serwer, do którego dostęp ma cyberprzestępca. Dodatkowo Hesperbot zaczyna rejestrować obraz, który ofiara widzi na swoim monitorze oraz przechwytuje każdy znak, jaki użytkownik zainfekowanego komputera wprowadzi za pomocą swojej klawiatury. Hesperbot uruchamia również na komputerze dodatkowy serwer zdalnego dostępu, dzięki któremu atakujący może w każdej chwili uzyskać dostęp do danej maszyny, bez wiedzy i zgody użytkownika. Wszystko po to, aby zmaksymalizować prawdopodobieństwo wydobycia danych, niezbędnych do uzyskania dostępu do ich internetowych kont bankowych, od możliwie jak największej liczby internautów.

Z danych laboratorium antywirusowego ESET wynika, że najwięcej infekcji spowodowanych przez Hesperbota miało miejsce na terenie Turcji i Czech. Rzadziej celem ataków byli mieszkańcy Wielkiej Brytanii i Portugalii.

Jak ustrzec się infekcji – eksperci z firmy ESET przypominają zasadę ograniczonego zaufania. Radzą internautom, aby nie otwierali wiadomości oraz załączników, których nie oczekiwali lub które wydają się podejrzane, np. posiadają dziwne rozszerzenia: pdf.exe, doc.exe, jpg.exe. Warto również rozważyć korzystanie z oprogramowania antywirusowego – przed infekcją Hesperbotem chronią wszystkie programy antywirusowe firmy ESET, w tym pakiet antywirusowy dla smartfonów i tabletów ESET Mobile Security.

Pobierz raport laboratorium antywirusowego firmy ESET, nt. wirusów, które poza Hesperbotem, okazały się najaktywniejszymi zagrożeniami komputerowymi ubiegłego miesiąca.

źródło: ESET

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]