Экспансия МММ на запад

Как правило, банковские троянцы нацелены сразу на несколько систем ДБО. Наиболее яркими примерами являются многофункциональные боты Zbot и Carberp. Однако недавно мы обнаружили банковского троянца, который нацелен всего лишь на одну систему онлайн-банкинга — «PSB-Retail» Промсвязьбанка. Cхема его работы представляет определенный интерес.

Троянец распространяется при помощи drive-by загрузок. На зараженном компьютере эта вредоносная программа, в первую очередь, прописывает специальный URL в пункт настроек соединения с интернетом «Использовать скрипт автоматической настройки»:

По этой ссылке располагается PAC-файл следующего содержания:

После установки этой опции все запросы на retail.payment.ru начинают проходить через прокси-сервер злодеев. Это дает злоумышленникам возможность направить пользователя на созданную ими поддельную страницу входа в систему онлайн-банкинга Промсвязьбанка.

Два года назад мы теснее описывали эту технику, но до сих пор она активно использовалась преимущественно бразильскими злоумышленниками.



Однако использования PAC-файла в данном случае оказалось недостаточно. Интернет-банкинг «PSB-Retail» Промсвязьбанка по умолчанию работает через защищенное HTTPS-соединение. Злоумышленникам пришлось принять меры, дабы не вызывать подозрений у пользователя. Они сформировали цифровой сертификат, который прописывается в хранилища всех популярных браузеров, а также помещается в список доверительных корневых центров сертификации:

Трафик от пользователя шифруется установленным открытым ключом, а на сервере злодеев расшифровывается имеющимся у них закрытым ключом.

В результате, заход на фальшивую страницу для пользователя выглядит легитимно — привычный интерфейс, значок защищенного соединения присутствует:

Однако между оригинальной и фальшивой страницами все-таки есть несколько внешних отличий:

Адрес страницы реального онлайн-банкинга — https://retail.payment.ru/n/default.aspx, фальшивой страницы — https://retail.payment.ru/bank/default.aspx;

Телефон службы поддержки тоже слегка изменен: вместо правильного номера 8 800 333 03 03 на поддельной странице указан 8 800 303 03 03. Таким образом, в случае если даже пользователь заподозрит что-то неладное, то он не сможет быстро дозвониться до службы поддержки.

Если же посмотреть информацию о сертификате сайта, то на истинном сайте вместо сформированного злодеями сертификата, выписанного неким RU Banks Ltd CA, мы увидим легитимный сертификат, подписанный Thawte SSL CA:

Еще одна необыкновенность этого зловреда заключается в том, что после первого запуска его присутствие в системе необязательно. Таким образом, в том числе и если впоследствии антивирус обнаружит и удалит вредоносный исполняемый файл, то трафик для интернет-банка по-прежнему будет проходить через сервер злоумышленников.

Еще в начале у меня возник закономерный вопрос: есть ли жертвы у этого троянца при такой его узкой направленности? После недолгих поисков я нашел развернутый ответ в виде истории одного пользователя:

Пока пользователь пытался неудачно,тщетно войти в систему на фишинговой странице, злодеи перехватили все данные для доступа, включая одноразовые ключи, и совершили безналичный перевод.

Всем пользователям, а необыкновенно,неподражаемо клиентам Промсвязьбанка, рекомендуется проверить конфигурацию интернет-соединения на наличие вышеупомянутой настройки. Также перед использованием интернет-банкинга следует ознакомиться с рекомендациями самого банка по безопасности. У Промсвязьбанка, например, этот документ выглядит вот так.

Все продукты «Лаборатории Касперского» детектируют троянца как Trojan-Banker.Win32.Capper, блокируют доступ к ресурсам, на которых размещается PAC-файл, а также детектируют сам PAC-файл как Trojan-Banker.JS.Proxy.ap.



Пинг не поддерживается.

Оставить комментарий