Briz.R koukuttaa pankkiasiakkaita
0
Panda Software paljasti alkuvuonna liigan, joka myi räätäloityjä Briz-troijalaisia erityisesti rahoituslaitoksiin kohdistuviin hyökkäyksiin. Haittakoodin lisäksi ostaja sai järjestelmän, jolla pystyi seuraamaan hyökkäyksen kulkua ja saamaan haltuunsa haittakoodin keräämät tiedot, kuten esimerkiksi ip-osoitteet, salasanat ja saastuneiden koneiden sijainnit. Nyt Briz-troijalaiset ovat saaneet perheenlisäystä.
Pandan mukaan viime viikolla tunnistettiin Briz.R-troijalainen, joka mahdollistaa saastuneiden tietokoneiden etähallinnan ja ohjaa käyttäjän selaimen tietoja kerääville huijaussivuille. Briz.R-troijalainen voi levitä esimerkiksi tiedostolatauksen tai toisen ohjelman mukana. Troijalaista ei kuitenkaan ole levitetty suuria määriän, ilmeisesti siksi, etteivät virustorjuntayhtiöt saisi siitä tunnistettavaa näytettä.
Troijalainen luo Pandan mukaan tietokoneeseen web-palvelimen, jonka avulla käyttäjä ohjataan huijaussivustoille, kun käyttäjä yrittää mennä tietyille esimerkiksi rahoituslaitoksille kuuluville sivuille.
Troijalainen kerää tiedot ja lähettää ne
Panda varoittaa, että troijalaisen luoma web-palvelin ja sen asentama phpremoteview-php-sovellus mahdollistavat koneen etähallinnan. Troijalainen kerää sivuille syötetyt tiedot ja lähettää ne hyökkääjälle, ja lataa myös smss.exe-komponentin, joka muokkaa koneen hosts-tiedostoa. Tämä estää pääsyn useille tietoturvayhtiölle kuuluville sivuille.
"Briz.R vaikuttaa olevan samaa perhettä kuin keväiset variantit. Nyt vaikuttaa siltä, että koska räätälöityjen troijalaisten myyntikanava purettiin, haittakoodin kirjoittaja yrittää hyötyä haittaohjelmilla suoraan, eli varastaa itse tietoa haittakoodin avulla", Panda Softwaren viruslaboratorion johtaja Luis Corrons toteaa.
