Банковский троян в процессе атаки использовал сервер правительства

Банковский троян

Компания Eset обнаружила и изучила новый банковский троян, атакующий пользователей в Бразилии. Особенность вируса заключается в использовании правительственного почтового сервера для связи с управляющим сервером.

Для кражи персональных данных вредоносных код инсталлировал специальный модуль для браузера Chrome. Плагин позволял преступникам перехватывать данные аутентификации, который пользователь вводил на странице онлайн-банкинга. Специалисты отмечают, что на территории Бразилии злоумышленники довольно часто задействуют банковское вредоносное программное обеспечение, похищая значительные суммы.

Антивирусное ПО Eset детектирует данный вирус как MSIL/Spy.Banker.AU. Для распространения вредоносных файлов злоумышленники использовали масштабную спам-кампанию. Основным компонентом схемы является загрузочный модуль (дроппер), отвечающий за инсталляцию динамических библиотек и объектов JavaScript на атакованный компьютер.

После активации вредоносный модуль начинал сканировать все открываемые пользователем интернет-страницы, проверяя их на принадлежность к сайтам финансовых компаний Бразилии. Если пользователь вводил логин и пароль к учетной записи, все данные сохранялись и отправлялись злоумышленникам. Схема отправки была довольно нестандартной – для этого использовалась уязвимость в параметрах сервера, принадлежащего правительству Бразилии.

Некорректные параметры сервера позволили злоумышленникам использовать почтовый аккаунт gov.br для пересылки электронных писем. Плагин отсылал два сообщения – первое сообщало об успешном заражении системы, второе отправлялось после того, как пользователь авторизуется на банковском сервисе. Вредоносный скрипт изначально содержит список банковских интернет-ресурсов, который сравнивался со страницами, открываемыми в браузере.

Совместные усилия корпорации Eset и правоохранительных структур Бразилии помогли оперативно заблокировать почтовые аккаунты злоумышленников. Уязвимость, обнаруженная в правительственном почтовом сервере, также закрыта.

P.S. Если вы создаете свой интернет проект, то полезно проверять мониторинг сайта на шеллы дабы не подвергать опасности посетителей сайта, а также не получить фильтры поисковых система за вирусы.

Вы можете оставить комментарий, или поставить трэкбек со своего сайта.

Нет комментариев

(Обязательно)
(Обязательно, не публикуется)

Админ не опаздывает - у него просто сегодня плохой трафик!
Яндекс.Метрика beget