Reklama

Banatrix napsuł sporo krwi rodzimym bankowcom jesienią 2014 r. Związek Banków Polskich przyznał wtedy, że klienci korzystający z kont internetowych narażeni byli na ataki złośliwego programu Banatrix, który przeszukiwał pamięci procesów przeglądarek: Chrome, Internet Explorer, Firefox oraz Opera. Wirus znajdował ciąg liczb, który odpowiadał numerowi konta, i podstawiał inny numer rachunku podstawiony przez hakerów. Co gorsza, program podmieniał numery kont przy wpisywaniu ich ręcznie przez użytkownika – dosłownie na oczach ofiary. Klienci, którzy nie zauważali zmiany, przelewali pieniądze na konta przestępców.

Zainfekowane pliki to instalacje programów: Winamp, Corel PaintShop, PoweIso, a także sterowniki lub zcrackowana wersja gry Minecraft

CERT Polska

Eksperci z CERT stwierdzili, że w 2014 r. był to najbardziej zaawansowany technicznie wirus ze wszystkich polskich rodzin malware, a liczba unikalnych zainfekowanych adresów IP sięgała nawet 5 tys. dziennie. CERT przygotował test, dzięki któremu użytkownicy mogli sprawdzić, czy wirus działa na ich komputerze.

Teraz okazuje się, że Banatrix ma młodszego, równie niebezpiecznego kuzyna.  „Analiza tego zagrożenia daje nam podstawy twierdzić, że jest to kolejne oprogramowanie napisane przez tego samego autora (albo grupę autorów) co wcześniej opisywany przez nas Banatrix” – czytamy w informacji CERT.

Jak działa nowy wirus? Użytkownicy pobierają złośliwe oprogramowanie z popularnych serwisów do wymiany plików sieci P2P. Zainfekowane pliki to instalacje programów: Winamp, Corel PaintShop, PoweIso, a także sterowniki lub zcrackowana wersja gry Minecraft.

Następnie trojan ściąga wtyczkę do przeglądarki Firefox. „W przypadku tego złośliwego oprogramowania spotkaliśmy się wyłącznie z wersją pluginu do Firefoxa. Nie wykluczamy jednak, że mogą istnieć także wersje dla Chrome” – informują eksperci z CERT. Złośliwy dodatek ma za zadanie pobrać numer konta, które zostanie podmienione, a także wysłać do serwera C&C screenshoty z przeglądarki podczas wykonywania przelewów - włącznie z kwotami.

Polscy autorzy złośliwego oprogramowania wciąż szukają nowych metod na kradzież pieniędzy od zainfekowanych użytkowników, jednocześnie minimalizując wykrycie swoich działań przed silnikami antywirusowymi

CERT Polska

Trojan dba również o to, żeby ofiara nie zauważyła, że numer konta został podmieniony. Nie dopuszcza do tego, aby na ekranie pojawił się inny numer niż zdefiniowany przez użytkownika. Co więcej, plugin nie jest wykrywany przez żaden z silników antywirusowych. Jak się przed nim ustrzec? Programiści z CERT proponują m.in. zaktualizowanie przeglądarki do najnowszej wersji oraz porównywanie numeru odbiorcy przelewu z numerem przesłanym w treści jednorazowego kodu SMS-owego z banku.

Polscy autorzy złośliwego oprogramowania wciąż szukają nowych metod na kradzież pieniędzy od zainfekowanych użytkowników, jednocześnie minimalizując wykrycie swoich działań przed silnikami antywirusowymi. Przykład przeanalizowanego pluginu pokazuje, że nie podejmują żadnych akcji w przypadku przelewów na zbyt małe oraz zbyt duże kwoty, a numer konta słupa zostaje ujawniony bezpośrednio przed transakcją” – podsumowują specjaliści.

Pracownicy CERT dowodzą, że twórcy nowego wirusa oraz Banatrixa podchodzą z Polski i odpowiadają za szereg nielegalnych działań. To oni prowadzili m.in. kampanię mailową, w której używali loga i nazwy Poczty Polskiej. Maile informowały o nieodebranej przesyłce, ale w rzeczywistości po kliknięciu w link na komputerze instalowano złośliwe oprogramowanie. 

Zespół CERT Polska (Computer Emergency Response Team) to część instytutu badawczego NASK (Naukowej i Akademickiej Sieci Komputerowej). Grupa zajmuje się m.in. reagowaniem na zagrożenia z zakresu cyberbezpieczeństwa, tworzeniem własnych narzędzi do wykrywania, monitorowania, analizy i korelacji zagrożeń, a także współpracą z podobnymi zespołami z Polski i świata.

Reklama
Reklama

Komentarze