Trojany bankowe w wiadomościach faksowych

9 marca, 2015

Analitycy Bitdefender ostrzegają przed zmasowaną spam-falą instalującą bankowego trojana Dyreza, który może zamienić dziesiątki tysięcy komputerów, nic nie podejrzewających użytkowników w maszyny do kradzieży wrażliwych danych finansowych. Zagrożenie wykorzystuje technikę polimorfizmu po stronie serwera, aby obejść oprogramowanie antywirusowe. Wirusy polimorficzne są trudne do wykrycia, gdyż ich różne próbki nie wyglądają tak samo. Często dwie próbki danego wirusa nie mają ze sobą nic wspólnego. Złośliwe wiadomości spamowe zawierają linki do plików HTML. Pliki te z kolei zawierają odnośniki URL do głęboko zaszytego kodu Javascript, który wydaje polecenie automatycznego pobrania archiwum zip ze zdalnej lokalizacji.

Co ciekawe, każde pobrane archiwum zawiera inną nazwę w celu oszukania oprogramowania antywirusowego. Technika ta nazywana jest polimorfizmem po stronie serwera i zapewnia, że każdy pobierany plik będzie rozpoznawany jako nowy.
 
Aby pójść krok dalej, sam kod JavaScript przekierowuje użytkownika do zlokalizowanego na stronie internetowej usługodawcy faksu zaraz po pobraniu archiwum.

Zawartość archiwum wygląda jak przeciętny plik PDF. Tak naprawdę jest to wykonywalny pliki z ikoną przypisywaną zwykle do pliku PDF. Działają one, jako oprogramowanie do pobierania, które kopiuje na nasz komputer i uruchamia bankowego trojana Dyzera, również znanego, jako Dyre.

Analiza złośliwego oprogramowania – Dyre

Pierwszy raz spotkano się z nim w 2014 roku i jest podobny do osławionego Zeusa. Instaluje się sam na komputerze użytkownika i zostaje aktywny tylko w momencie, gdy użytkownik korzysta z konkretnych funkcji zawartych na sprecyzowanych stronach internetowych, czasami są to strony logowania instytucji bankowych lub serwisów finansowych.
 
Za pośrednictwem ataku man-in-the-broswer, hakerzy są w stanie wprowadzić złośliwy kod Javascript, który pozwala im na kradzież poświadczeń (loginu i hasła pin’u), co w rezultacie daje im możliwość na przyszłe manipulowanie i zarządzenie kontami w całkowicie niewykrywalny sposób. Dzięki technice inżynierii wstecznej (gdzie przeprowadza się badania produktu <w tym wypadku trojana> w celu ustalenia, jak on dokładnie działa, a także w jaki sposób i jakim kosztem został wykonany), naukowcom zajmującym się analizą złośliwego oprogramowania, udało się określić listę docelowych stron internetowych dla tego konkretnego trojana. Atak został wymierzony w klientów renomowanych instytucji finansowych i bankowych z USA, Wielkiej Brytanii, Irlandii, Niemczech, Australii, Rumunii i Włoch.
 
Pomimo względnego wyrafinowania sposobu ataku, technika ta nadal opiera się na ciekawości użytkownika by zajrzeć do wygenerowanego archiwum i ręcznie uruchomić jego zawartość. Odrobina ostrożności może zmniejszyć szanse na zarażenie naszego komputera. Oto jak wyglądają przykładowe linki do złośliwego oprogramowania:

Według laboratorium Bitdefendera, 30 000 złośliwych maili zostało wysłanych tylko w ciągu jednego dnia ze spamowych serwerów w Stanach Zjednoczonych, Rosji, Turcji, Francji, Kanady i Wielkiej Brytanii. Co może wydać się ciekawe, kampania ataku nazywa się 2201us i zdaje się nawiązywać do daty ataku, czyli 22 stycznia i kraju docelowego, czyli USA.
 
Bitdefender wykrywa i blokuje wszystkie elementy zagrożenia takie jak: plik.js, program pobierający i plik wykonywalny. Trojan wykrywany jest, jako Gen:Trojan.Heur.AuW@Izubv1ni. Upominamy również użytkowników by unikali klikania nieznanych linków w wiadomościach e-mail, szczególnie wtedy, gdy wiadomości pochodzą od nieznanych adresatów. I przypominamy o aktualizacjach antywirusa pod kątem definicji najnowszych wirusów i zagrożeń, tak aby program był cały czas zdolna powstrzymać atak wymierzony w nasz komputer.
 
Ten artykuł został napisany w oparciu o próbki spamu udostępnione dzięki uprzejmości Adriana Mirona badaczem spamu w Bitdefender, Doina Cosovana badacza Bitdefender, których dostarczył informacji technicznych z ramienia grupy zajmującej się analizą wirusów, Octaviana Minea i Alexandru Maximciuca.

źródło: Bitdefender

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]