Компания Eset обнаружила и изучила новый банковский троян, атакующий пользователей в Бразилии. Особенность вируса заключается в использовании правительственного почтового сервера для связи с управляющим сервером.
Для кражи персональных данных вредоносных код инсталлировал специальный модуль для браузера Chrome. Плагин позволял преступникам перехватывать данные аутентификации, который пользователь вводил на странице онлайн-банкинга. Специалисты отмечают, что на территории Бразилии злоумышленники довольно часто задействуют банковское вредоносное программное обеспечение, похищая значительные суммы.
Антивирусное ПО Eset детектирует данный вирус как MSIL/Spy.Banker.AU. Для распространения вредоносных файлов злоумышленники использовали масштабную спам-кампанию. Основным компонентом схемы является загрузочный модуль (дроппер), отвечающий за инсталляцию динамических библиотек и объектов JavaScript на атакованный компьютер.
После активации вредоносный модуль начинал сканировать все открываемые пользователем интернет-страницы, проверяя их на принадлежность к сайтам финансовых компаний Бразилии. Если пользователь вводил логин и пароль к учетной записи, все данные сохранялись и отправлялись злоумышленникам. Схема отправки была довольно нестандартной – для этого использовалась уязвимость в параметрах сервера, принадлежащего правительству Бразилии.
Некорректные параметры сервера позволили злоумышленникам использовать почтовый аккаунт gov.br для пересылки электронных писем. Плагин отсылал два сообщения – первое сообщало об успешном заражении системы, второе отправлялось после того, как пользователь авторизуется на банковском сервисе. Вредоносный скрипт изначально содержит список банковских интернет-ресурсов, который сравнивался со страницами, открываемыми в браузере.
Совместные усилия корпорации Eset и правоохранительных структур Бразилии помогли оперативно заблокировать почтовые аккаунты злоумышленников. Уязвимость, обнаруженная в правительственном почтовом сервере, также закрыта.
P.S. Если вы создаете свой интернет проект, то полезно проверять мониторинг сайта на шеллы дабы не подвергать опасности посетителей сайта, а также не получить фильтры поисковых система за вирусы.