Uusi vaarallinen verkkopankkihuijaus netissä
0
Panda varoittaa internet-sivustosta, joka on suunniteltu käynnistämään haavoittuvuuksia ja haittaohjelmia hyödyntävän Phishing-hyökkäyksen. Hyökkäys käynnistyy, kun käyttäjä käy haavoittuvaa tietokonetta käyttäen saastuneella sivustolla. Troijalainen ohjaa käyttäjän aidoilta pankkisivustoilta näyttäville huijaussivustoille, mutta suomalaisista verkkopankkeihin kohdistuvista huijauksista ei ole vielä tietoa.
Saastuneelle sivustolle mennessään kävijä näkee kryptatun Javascriptin, joka todellisuudessa sisältää toisen koodin, joka yrittää ladata koneeseen Downloader.CYZ-troijalaisen. Kun Downloader.CYZ käynnistyy, se yrittää saada muiden ohjelmien hallinnan antamalla itselleen debug-oikeudet ja lopettaa esimerkiksi ohjelmien toimintoja. Se yrittää ladata eri Internet-osoitteista 2 tiedostoa (file1.exe ja file2.exe), käynnistää ja tallettaa ne koneeseen. Aina kun Downloader.CYZ saastuttaa koneen, se myös ottaa yhteyttä tiettyyn Internet-sivustoon, joten ilmeisesti sivusto kerää tietoa troijalaisen levinneisyydestä ja saastuneiden koneiden määrästä.
Banker.VY tekee itsestään nbthlp.exe-nimisen kopion ja luo rekisterimerkinnän, joka varmistaa, että troijalainen käynnistyy aina tietokoneen käynnistyksen yhteydessä. Troijalaisen vaara piilee siinä, että se on ohjelmoitu ohjaamaan käyttäjän aidoilta pankkisivustoilta näyttäville huijaussivustoille esimerkiksi muokkaamalla host-tiedostoa siten, että kun käyttäjä pyrkii jollekin tietylle pankkiaiheiselle sivustolle, hän ohjautuukin huijaussivustolle, joka tallentaa käyttäjän luottamuksellisia tietoja. Troijalaisen koodi sisältää myös listan pankkisivustojen osoitteisiin liittyvistä merkkijonoista, eli jos käyttäjä syöttää merkkijonon sisältämän osoitteen selaimeen, selain ohjautuukin huijaussivustolle.
Ei vielä tietoa koskeeko suomalaisia verkkopankkeja
Huijaussivustot ovat olleet espanjalaisia, italialaisia, saksalaisia, englantilaisia ja amerikkalaisia sivustoja jäljitteleviä.
Dumarin.L luo saastuneeseen koneeseen useita tiedostoja, joilla on jokaisella oma tarkoituksensa, kuten ikkunoiden tietojen kerääminen ja tietojen kirjoittaminen lokitiedostoon, käyttäjän leikepöydän tietojen tallentaminen tai etäkomentojen vastaanottamisen mahdollistavana takaovena toimiminen. Troijalaisen keräämät tiedot tallentuvat väliaikaistiedostoon, josta ne lähetetään palvelimelle.
"Tämä phishing-hyökkäys poikkeaa monista muista hyökkäyksistä siinä, miten huolellisesti se on valmisteltu. Banker.VY valvoo useita pankkisivustoja ja huijaussivustot ovat erittäin vakuuttavan näköisiä, mikä merkitsee sitä, että hyökkääjien on täytynyt käyttää aikaa ja nähdä vaivaa valmisteluissa. Dumarin.L puolestaan pystyy varastamaan lukuisten sovellusten tietoja", Panda Softwaren viruslaboratorion johtaja Luis Corrons varoittaa.
