Банковский троян в процессе атаки использовал сервер правительства

Банковский троян

Компания Eset обнаружила и изучила новый банковский троян, атакующий пользователей в Бразилии. Особенность вируса заключается в использовании правительственного почтового сервера для связи с управляющим сервером.

Для кражи персональных данных вредоносных код инсталлировал специальный модуль для браузера Chrome. Плагин позволял преступникам перехватывать данные аутентификации, который пользователь вводил на странице онлайн-банкинга. Специалисты отмечают, что на территории Бразилии злоумышленники довольно часто задействуют банковское вредоносное программное обеспечение, похищая значительные суммы.

Антивирусное ПО Eset детектирует данный вирус как MSIL/Spy.Banker.AU. Для распространения вредоносных файлов злоумышленники использовали масштабную спам-кампанию. Основным компонентом схемы является загрузочный модуль (дроппер), отвечающий за инсталляцию динамических библиотек и объектов JavaScript на атакованный компьютер.

После активации вредоносный модуль начинал сканировать все открываемые пользователем интернет-страницы, проверяя их на принадлежность к сайтам финансовых компаний Бразилии. Если пользователь вводил логин и пароль к учетной записи, все данные сохранялись и отправлялись злоумышленникам. Схема отправки была довольно нестандартной – для этого использовалась уязвимость в параметрах сервера, принадлежащего правительству Бразилии.

Некорректные параметры сервера позволили злоумышленникам использовать почтовый аккаунт gov.br для пересылки электронных писем. Плагин отсылал два сообщения – первое сообщало об успешном заражении системы, второе отправлялось после того, как пользователь авторизуется на банковском сервисе. Вредоносный скрипт изначально содержит список банковских интернет-ресурсов, который сравнивался со страницами, открываемыми в браузере.

Совместные усилия корпорации Eset и правоохранительных структур Бразилии помогли оперативно заблокировать почтовые аккаунты злоумышленников. Уязвимость, обнаруженная в правительственном почтовом сервере, также закрыта.

P.S. Если вы создаете свой интернет проект, то полезно проверять мониторинг сайта на шеллы дабы не подвергать опасности посетителей сайта, а также не получить фильтры поисковых система за вирусы.

Вы можете оставить комментарий, или поставить трэкбек со своего сайта.

Нет комментариев

(Обязательно)
(Обязательно, не публикуется)

Юзер за дедку, дедка за тоссер, тоссер за мэйлер - и отослали мессаж!
Яндекс.Метрика beget