Novi ''bankarski'' Trojanci se vraćaju starim taktikama

Opisi virusa, 11.02.2013, 08:26 AM

Pokušavajući da izbegnu nove zaštitne sisteme banaka pojedini autori takozvanih „bankarskih“ Trojanaca se okreću tradicionalnim tehnikama krađe akreditiva uz pomoć fišinga, kažu istraživači firme Trusteer.

Mnogi savremeni bankarski Trojanci koje koriste sajber kriminalci sposobni su da se “umešaju” u online bankarske sesije korisnika zaraženih računara i to u realnom vremenu. To im omogućava obavljanje finansijskih transakcija u pozadini za račun kriminalaca, što se sakriva od korisnika tako što se menja saldo računa i istorije transakcija u browser-u.

Zbog toga su banke počele da koriste sisteme koji vrše monitoring nad interakcijama klijenata sa njihovim web sajtovima kako bi se otkrile anomalije koje bi ukazale na aktivnost malvera. Kao odgovor na to neki autori malvera su se napravili korak unazad i vratili se tradicionalnim tehnikama koje uključuju krađu akreditiva za online bankovne naloge i njihovo korišćenje sa različitih računara kako bi izbegli da budu otkriveni.

Istraživači Trusteer-a su nedavno otkrili promene u kodovima bankarskih Trojanaca Tinba i Tilon koji su sada dizajnirani tako da speče žrtve da pristupe pravim web sajtovima banaka čiji su klijenti, zamenom pravih stranica za prijavljivanje njihovim lažnim verzijama.

Kada žrtva unese podatke potrebne za prijavljivanje na nalog na lažnu stranicu, malver prikazuje poruku o grešci kojom se korisnik obaveštava da je online servis banke privremeno nedostupan. U međuvremenu, malver šalje kriminalcima ukradene akreditive koji potom koriste drugi računar za prijavljivanje na bankovni nalog žrtve i zatim obavljaju transakcije za svoj račun.

Ako banka koristi multi-faktornu autorizaciju kojom se od korisnika zahteva i unos jednokratne lozinke, malver će i ovaj podatak tražiti od korisnika na lažnoj stranici.

Ovakav način krađe akreditiva je sličan tipičnim fišing napadima, ali ga je teže otkriti jer je URL u adresnom baru browser-a ustvari URL pravog sajta banke a ne lažnog.

Ovakav pristup malvera nije tako sofisticiran kao onaj koji smo viđali kod malvera koji se ubacuju u sesije korisnika u realnom vremenu, ali na ovaj način je ostvaren cilj a to je izbegavanje sigurnosnih sistema banaka.

Istraživači Trusteer-a nedavno su otkrili i analizirali verziju 2 Trojanca Tinba koja dolazi sa podrškom za Chrome. Tinba, verzija 2, se već koristi u napadima na velike finansijske institucije i korisničke web servise.

Dva vektora napada malvera, jedan koji podrazumeva krađu akreditiva (uz pomoć malvera i fišinga) i drugi preotimanje sesije (uz pomoć malvera), zahtevaju dva različita rešenja za zaštitu. Banke treba da imaju zaštitu i od jedne i od druge vrste napada, jer kriminalci brzo prilagođavaju svoje tehnike napada novim merama zaštite banaka, smatraju u Trusteer-u. “Ne možete zaključati vrata a ostaviti prozor otvoren”, poručuju istraživači Trusteer-a.