Banatrix sprytnie podmienia numery kont bankowych

16-09-2014, 09:00

Chcesz zrobić przelew, logujesz się do serwisu bankowego i ręcznie wpisujesz numer rachunku. Myślisz, że wszystko masz pod kontrolą, aż tu nagle widzisz, jak wprowadzone przez Ciebie cyfry zmieniają się na inne. Omamy wzrokowe? Nie, tak działa Banatrix.

Minął już prawie rok od wykrycia zagrożenia o nazwie VBKlip, które za pomocą schowka podmieniało numery kont bankowych. Od tego czasu szkodnik parę razy ewoluował, m.in. zaczął wykorzystywać serwery C&C i zyskał funkcjonalność keyloggera. Najnowsza wersja, którą nazwano Banatrix, zaskoczyła nawet ekspertów z CERT Polska.

Zagrożenie instaluje się w systemie Windows jako zadanie okresowe i potrzebuje do działania pliku .windows.sys, który jest zaszyfrowaną biblioteką DLL i odpowiada za komunikację sieciową programu. Sama metoda działania jest wyjątkowo prosta i jednocześnie innowacyjna. Szkodnik sprawdza uruchomione procesy w poszukiwaniu jednego z poniższej listy:

  • chrome.exe
  • iexplore.exe
  • IEXPLORE.EXE
  • firefox.exe
  • opera.exe

Jeśli znajdzie taki proces, przeszukuje jego pamięć pod kątem 26-cyfrowych ciągów (zapisanych ze spacjami bądź bez). Jeśli znajdzie taki ciąg, to podmienia go na inny, pobrany z serwera C&C. Jak to wygląda, możecie zobaczyć na poniższym filmie:

- Co jest bardziej niepokojące to fakt, że przy odpowiednim skoordynowaniu czasów możliwe jest, że numer konta zostanie podmieniony dopiero w wysłanym żądaniu POST, co może spowodować, że użytkownik się nawet nie zorientuje, że numer konta został zmieniony - piszą eksperci z CERT Polska, którzy przygotowali specjalny test pozwalający sprawdzić, czy nie jesteśmy zainfekowani (zob. VBKlip 2.0: bez schowka, za to z efektami specjalnymi).


Źródło: CERT Polska
  
znajdź w serwisie

RSS  
RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Grudzień 2019»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
3031