Trojan obrabiający konta bankowe

Grupa cyberprzestępców "czyści" konta komercyjnych banków w czterech krajach, wykorzystując w tym celu specjalizowanego trojana, który umieszczany jest w specjalnie skonstruowanym i ściśle adresowanym ataku phishingu.

Według specjalistów firmy SecureWorks, cechą najbardziej wyróżniającą ten kod złośliwy jest zdolność od naśladowania kroków wykonywanych przez posiadacza konta w momencie pobierania z niego pieniędzy.

Specjaliści SecureWorks twierdzą, że nowy trojan, wariant kodu złośliwego Prg Banking, zdołał "wyczyścić" już setki kont w niektórych największych bankach Stanów Zjednoczonych, Wielkiej Brytaniii, Hiszpanii i Włoszech. Trojan nie rozprzestrzenia się szeroko, jest jednak bardzo niebezpieczny. Suma zgarniętych przez niego pieniędzy z różnych kont szacowana jest na 200 tys. USD.

Działanie trojana z punktu widzenie strony bankowej wygląda na sesje prowadzone przez właściciela konta. Do przeprowadzania ataków wykorzystywane są prawdopodobnie informacje zgromadzone uprzednio przez wcześniejsze wersje trojana Prg, które zbierały dane o kontach bankowych.

Ofiarą ataków padają najczęściej konta biznesowe, ponieważ mają zazwyczaj przypisaną możliwość przeprowadzania transakcji online i charakteryzują się dużą liczbą transakcji, których zasadność kontrolowana jest okresowo.

Dysponując danymi o kontach swoich ofiar, napastnik wysyła do właściciela konta, który został zidentyfikowany na podstawie wcześniej wykradzionych informacji, wiadomość e-mail. Wiadomość zawiera numer konta bankowego, nazwisko właściciela, jak również takie szczegóły jak te, że konto jest chronione np. systemem haseł jednorazowych. W wiadomości jest np. żądanie sprowadzenie nowej listy haseł jednorazowych z podanego adresu. Po kliknięciu na łączniku, z ośrodka phishingu sprowadzany jest trojan Prg i ładowany zamiast tej listy.

Od tego momentu kod trojana kontroluje komputer właściciela konta. Powiadamia napastnika, że właściciel konta jest w danej chwili w połączony z bankiem, przechwytuje jego dane logowania i rejestruje kroki, jakie wykonuje w trakcie sesji bankowej.

Według specjalistów SecureWorks, trojan jest dostosowany do każdego banku indywidualnie, uwzględniając nawet drobne różnice w krokach transakcji bankowych.

Najbardziej skutecznym środkiem unikania skutków tego rodzaju ataków jest ignorowanie wszelkich wiadomości e-mail pochodzących rzekomo z banku, w których jest żądanie zwrotnego przesłania czegokolwiek, czy klikniecia na jakimkolwiek linku.


Zobacz również