Компания «Доктор Веб» сообщает о
распространении нового троянца, представляющего опасность для
пользователей систем дистанционного банковского обслуживания
(интернет-банкинга) в России. Троянец изменяет настройки браузеров
жертвы таким образом, что в процессе работы с системой «Банк-Клиент»
пользовательский трафик направляется через принадлежащий злоумышленникам
сервер, что позволяет им воровать важные данные.
Вредоносная
программа Trojan.Proxy.23968, образцы которой также добавлялись в
вирусные базы Dr.Web под именем Trojan.Carberp.450 в конце августа 2012
года, создана злоумышленниками для установки в инфицированной системе
прокси-сервера с целью перехвата конфиденциальной информации при работе с
системами дистанционного банковского обслуживания нескольких российских
банков.
Запустившись на компьютере жертвы, троянец изменяет
параметры сетевого соединения, прописывая в них ссылку на сценарий
автоматической настройки. По этой ссылке на инфицированный компьютер
загружается файл, с использованием которого соединение зараженного ПК с
Интернетом осуществляется через принадлежащий злоумышленникам
прокси-сервер. Прокси-сервер, в свою очередь, перенаправляет жертву на
поддельную страницу системы «Банк-Клиент», содержащую форму для ввода
логина и пароля.
Система «Банк-Клиент» российского банка,
который первым подвергся атаке, использует при соединении с
пользователем защищенный протокол HTTPS. В целях маскировки сеанса связи
с поддельным банковским сервером новый троянец устанавливает в систему
самоподписанный цифровой сертификат. Таким образом, страница системы
«Банк-Клиент», которую открывает в своем браузере жертва троянца, имеет
похожий на оригинальный URL, идентичное с ним оформление, а само
соединение осуществляется по зашифрованному протоколу HTTPS. В последнее
время специалистами компании «Доктор Веб» были зафиксированы факты
установки троянцем новых цифровых сертификатов, а в качестве целей для
атак выявлено еще несколько банковских систем.
Примечательным
фактом является то, что даже после полного удаления Trojan.Proxy.23968
из системы в настройках браузеров остаются внесенные троянцем изменения,
поэтому пользователь может стать жертвой злоумышленников даже в том
случае, если сам троянец был уничтожен антивирусным ПО.
|
Главная 
