Transformacja VBKlip do Bantrix – trojan bankowy ponownie atakuje Polaków

7 września, 2014

Dobrze, że ktoś czuwa nad naszym bezpieczeństwem komputerowym. A konkretnie robi to polski CERT – grupa szybkiego reagowania na komputerowe incydenty, działająca w strukturach NASKu (Naukowej i Akademickiej Sieci Komputerowej). Rok temu pisaliśmy o malware VBKlip, który podmienia numer konta, jeśli ten zostanie skopiowany i wklejony w odpowiednie pole podczas robienia przelewów on-line. Malware to zostało udoskonalone i ponownie atakuje polskich użytkowników.

Poprzednia odmiana VBKlipa wykorzystywała ludzkie lenistwo. Robiąc przelewy zazwyczaj kopiujemy numer konta i wklejamy go w odpowiedne pole tekstowe. Skopiowany ciąg znaków trafia do schowka systemowego, w którym przez malware jest podmieniany na inny, zdefiniowany przed autorów wirusa.

CERT Polska: Użytkownicy pisali do nas, że próbowali skopiować numer rachunku do strony z przelewem, ale numer im się zmieniał. Wtedy pomyśleli, że padli ofiarą VBKlip, więc jako tymczasowe rozwiązanie postanowili przepisać numer rachunku. Po przepisaniu jednak numer się zmienił, jak napisał jeden z użytkowników, “na ich oczach”.

Obecna odmiana VBKlipu 2.0 – Bantrix jest bardziej wyrafinowana. Już nie wystarczy przepisać ręcznie numeru konta, metoda ta nie zadziała, malware i tak podmieni ciąg znaków na własny. Dzięki uprzejmości zgłaszającego incydent, grupa CERT Polska ustaliła, że malware przeszukuje działające procesy w poszukiwaniu pięciu konkretnych:

  • chrome.exe
  • iexplore.exe
  • IEXPLORE.EXE
  • firefox.exe
  • opera.exe

Jeśli znajdzie jeden z nich – bingo! Użytkownik zapewne korzysta z przeglądarki. W tym momencie Bantrix przeszukuje pamięć procesu pod kątem 26-cyfrowego ciągu znaków, ze spacjami lub bez (niekoniecznie musi być to numer konta). Jeśli proces szukania zakończy się skucesem, numer taki jest podmieniany na inny, pobrany z serwera C2. Sprawia to, że cokolwiek wpiszesz, co będzie mieć 26 cyfr w dowolnym polu tekstowym w przeglądarce zostanie podmienione.

Jak sprawdzić, czy mój komputer jest zainfekowany tym malware?

Grupa CERT przygotowała prosty test. Wystarczy otworzyć przeglądarkę (najlepiej mozillę), odczekać około 2 minuty, wyświetlić dowolne źródło strony (skrót klawiszowy CTRL+U) i wpisać ręcznie w dowolnym polu tekstowym (np. tutaj http://avlab.pl/search/node w polu wyszukiwania) ciąg znaków:

12 1234 1234 1234 1234 1234 1234

Jeśli wpisane liczby zostaną podmienione na inne, Twój komputer jest zainfekowany tym groźnym malware. Co najgorsze, metoda ta nie zawsze musi zadziałać. Szczegóły tutaj: http://www.cert.pl/news/8999

Jak zminimalizować straty?

1. Nie wykonuj żadnych przelewów online.
2. Nie podłączaj pamięci masowych, aby nie narazić się na niebezpieczeństwo przeniesienia malware na inny komputer.
3. Prewencyjnie przeskanuj komputer narzędziem odpowiednim do tego typu operacji, a więc Malwarebytes Anti-Malware Free.
4. Przyjrzyj się wszystkim procesom działającym w systemie (również dla pewności przeskanuj system [EEK korzysta z silnika Bitdefendera i Emsisoftu]), wykorzystaj darmowe narzędzie Emsisoft Emergrncy Kit 9.
5. Zainstaluj firewall, ten systemowy nie jest najlepszy. Jeśli Twój antywirus ma wbudowany firewall, tym lepiej. Przez kilka dni skorzystaj z trybu interaktywnego, aby mieć pod kontrolą wszystkie połączenia wychodzące i przychodzące. Sprawdź obecne logi firewala.
6. Ostrzeż swoich znajomych o tym wirusie.
7. Jeśli w/w kroki sprawiają Ci problemy, skorzystaj z pomocy przyjaciela.

Na chwilę obecną Bantrix jest całkowicie niewykrywalny. Skan z VirusTotal. Warto tutaj dodać, że skanery antywirusowe w tym serwisie niekoniecznie muszą wykrywać zagrożenie. Dlaczego tak się dzieje pisaliśmy o tym [ tutaj  – VirusTotal od kuchni ].

źródło informacji: CERT Polska

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]