Spośród wykrytych w ubiegłym roku zagrożeń finansowych na szczególną uwagę zasługuje Banatrix, który ma zresztą polskie korzenie. Pisaliśmy o nim w Dzienniku Internautów już kilka razy, ataki z jego wykorzystaniem jednak nie ustają. Świadczy o tym choćby artykuł, który ukazał się w Niebezpieczniku pod koniec lutego. W ciągu 2 ostatnich tygodni zgłosiło się do nas 5 firm i 3 prywatne osoby. Wszyscy zostali okradzeni podczas wykonywania przelewu internetowego. Łączna kwota strat przekracza 1 000 000 złotych - informują redaktorzy Niebezpiecznika.

Najpierw był VBKlip

Istnieje wiele metod okradania kont bankowych. We wspomnianym wyżej przypadku doszło do podmiany numerów rachunków, na które ofiary przelewały pieniądze - dlatego o niecne działania podejrzewam Banatriksa lub jego młodszego brata znanego jako VBKlip (w artykule nie pada żadna nazwa). Bez wątpienia istnieją też inne szkodniki tego typu, ale na polskim gruncie są mniej popularne.

Zacznijmy od VBKlipa. Pierwsza próbka tego programu dotarła do laboratorium CERT Polska w październiku 2013 roku. Napisano go w języku Visual Basic 6 i wyposażono w funkcję podmiany numerów kont bankowych za pośrednictwem schowka Windows. Za każdym razem, gdy użytkownik kopiuje numer rachunku ze strony (np. sklepu) lub wiadomości e-mail, VBKlip zastępuje go numerem konta kontrolowanym przez cyberprzestępców. Najprostszym sposobem obronienia się przed takim szkodnikiem jest ręczne wpisywanie numeru rachunku, na które trzeba dokonać wpłaty.

Zagrożenie to rozprzestrzenia się za pomocą wiadomości typu spear phishing, czyli skierowanych do konkretnych odbiorców. Jednym z celów ataku byli sprzedawcy na Allegro. Z treści e-maila wynikało, że załączony plik zawiera zdjęcie reklamowanego przedmiotu, który został rzekomo kupiony przez nadawcę. Cyberprzestępcy wykorzystali starą sztuczkę opierającą się na tym, że środowisko Windows domyślnie ukrywa rozszerzenia plików. Ikona przesyłanego pliku sugerowała, że to obraz, a jego nazwa kończyła się na .JPG.zip lub .JPG.scr (ostatnie trzy litery po kropce nie były wyświetlane, jeśli użytkownik nie zmienił ustawień systemu). W rzeczywistości było to archiwum ZIP albo wygaszacz ekranu. Uruchomienie tego pliku skutkowało infekcją.

Innym celem ataku byli (i są nadal) klienci operatorów telekomunikacyjnych i pocztowych działających na polskim rynku - w Dzienniku Internautów informowaliśmy o wiadomościach pochodzących rzekomo od takich firm, jak UPC, Vectra, Netia, Orange czy Play, a także Poczta Polska oraz inPost. E-maile te miały zawierać fakturę w formacie PDF, co sugerowały ikona i końcówka nazwy załączonego pliku.

Użytkownik Windowsa, chcąc wiedzieć, z jakimi plikami ma NAPRAWDĘ do czynienia, musi włączyć na stałe wyświetlanie rozszerzeń plików. Aby zrobić to w systemie Windows 7 i wcześniejszych edycjach, należy otworzyć dowolny folder i wskazać menu Organizuj | Opcje folderów i wyszukiwania (lub Narzędzia | Opcje folderów). Po przejściu na kartę Widok, należy usunąć zaznaczenie pola wyboru Ukryj rozszerzenia znanych typów plików. Aby dostać się do wspomnianej opcji w systemach Windows 8 i 8.1, należy wybrać kartę Widok na wstążce Eksploratora, po czym kliknąć Opcje | Zmień opcje folderów i wyszukiwania.

Podejrzane pliki warto również przebadać za pomocą zainstalowanego w systemie programu antywirusowego, pamiętając o uprzednim zaktualizowaniu baz wirusów. Powód jest prosty: twórcy VBKlipa nie zaprzestali jego rozwijania. Istnieje także możliwość, że przekazali kod źródłowy stworzonego programu komuś innemu. Może o tym świadczyć powstanie kolejnej mutacji tego zagrożenia.

Ciemny zaułek ewolucji

W styczniu 2014 roku eksperci wykryli nową wersję VBKlipa, napisaną przy użyciu frameworku .NET i zawierającą kilka zmian w stosunku do omówionej wcześniej. Jej działanie sprowadzało się wyłącznie do podmiany numerów kont bankowych skopiowanych do schowka. W odróżnieniu od swego poprzednika nowy VBKlip nie zapisywał żadnych wartości do rejestru i z nikim się nie komunikował za pośrednictwem sieci - zaletą takiego uproszczenia była jego niska wykrywalność przez programy antywirusowe.

Rozprzestrzeniał się też inaczej, bo za pomocą istniejących botnetów, udając aktualizacje popularnych programów, takich jak Adobe Flash Player, Facebook Chat czy Java. Aby ograniczyć ryzyko, wystarczyło nie pobierać plików z niezaufanych źródeł.

Dopiero po pewnym czasie eksperci zaobserwowali nowe próbki tego szkodnika, które - tak samo jak VBKlip w Visual Basicu - podszywały się pod niegroźne pliki, a konkretnie pod dokumenty stworzone w Wordzie. W maju ubiegłego roku CERT Polska opublikował dokładniejszą analizę obu zagrożeń, doradzając użytkownikom każdorazowe sprawdzanie numeru rachunku na stronie, na której potwierdzają wykonanie przelewu. Parę miesięcy później wykryto nowy rodzaj oprogramowania podmieniającego numery kont bankowych, któremu nadano nazwę Banatrix.

Przejście na kolejny poziom

Szkodnik zidentyfikowany we wrześniu 2014 roku potrafi podmienić numer rachunku „w locie”, niezależnie od tego, czy użytkownik skorzystał z opcji kopiuj–wklej, czy wpisał go cyfra po cyfrze. Jest to możliwe, ponieważ Banatrix sprawdza uruchomione procesy w poszukiwaniu przeglądarki Chrome, Internet Explorer, Firefox lub Opera, a po jej znalezieniu przeszukuje pamięć pod kątem 26-cyfrowych ciągów (zapisanych ze spacjami bądź bez). Znalezienie takiego ciągu skutkuje jego zastąpieniem przez inny, pobrany z serwera C&C.

Jak zauważyli eksperci, przy odpowiednim skoordynowaniu czasów istnieje możliwość podmiany numeru konta dopiero w wysyłanym żądaniu POST, co może spowodować, że użytkownik nawet się nie zorientuje, że przelał środki na inny rachunek, niż zamierzał. W takim przypadku ofiara na stronie z podsumowaniem transakcji zobaczy poprawny numer konta odbiorcy. Jedynym ratunkiem jest sprawdzenie parametrów transakcji w SMS-ie z jednorazowym kodem przesłanym przez bank - znajdzie się w nim rzeczywisty numer rachunku, na który zostaną przelane pieniądze. 

Jeżeli konto docelowe okaże się inne niż to, którego numer jest widoczny na stronie banku, to znaczy, że komputer został zainfekowany. Oznacza to również, że zainstalowany w systemie program antywirusowy nie poradził sobie z danym zagrożeniem. Najprostszym rozwiązaniem tego problemu jest przeskanowanie komputera przy użyciu płyty ratunkowej (Rescue CD) udostępnionej przez jednego z producentów aplikacji zabezpieczających. Oto niektóre z nich:

• AVG Rescue CD
• Avira AntiVir Rescue System
• BitDefender Rescue CD
• F-Secure Rescue CD
• Kaspersky Rescue Disk 10

To powinno pomóc, a jeśli tak się nie stanie, należy skonsultować się ze specjalistą.

Czy używanie tokena jest bezpieczne?

Istnieje kilka metod potwierdzania transakcji w systemach bankowych. Karty z jednorazowymi kodami w postaci zdrapek możemy od razu zakwalifikować jako nieskuteczne w walce z programami podmieniającymi numery rachunków. Wiadomości SMS, zawierające opis złożonej dyspozycji (np. kwotę, datę i wybrane cyfry z numeru konta odbiorcy) oraz unikalne hasło powiązane z daną transakcją, są dobrą metodą pod warunkiem, że telefon użytkownika nie został zainfekowany.

Eksperci nie wykryli dotąd żadnych aplikacji mobilnych współpracujących z Banatriksem i VBKlipem, co nie znaczy, że nie istnieją inne zagrożenia, które potrafią przechwytywać wysyłane przez bank SMS-y i przekazywać je przestępcom mającym dostęp do konta ofiary dzięki desktopowej wersji danego szkodnika. Najbardziej znany tandem tego typu to ZeuS i ZitMo. Istotne jest więc dbanie o bezpieczeństwo swojego smartfona. Przede wszystkim należy zwracać uwagę na to, jakich uprawnień żądają instalowane aplikacje. Niektórzy eksperci doradzają zaopatrzyć się w stary, trudniejszy do zainfekowania telefon i używać go wyłącznie do odbierania bankowych SMS-ów.

Klienci wielu banków w procesie autoryzowania transakcji mogą posługiwać się także tokenami. Dostępne są tokeny sprzętowe, przypominające breloki do kluczy, oraz pod postacią aplikacji w telefonie komórkowym. Ważniejszy jest jednak podział na tokeny generujące jednorazowe kody na bazie czasu, licznika oraz z funkcją challenge–response. Dwa pierwsze NIE chronią użytkownika przed zagrożeniami podmieniającymi numery kont.

Na uwagę zasługują natomiast tokeny challenge–response. Kiedy użytkownik zleca wykonanie przelewu, system bankowy generuje kod transakcji (czyli challenge). Właściciel konta musi wprowadzić go do tokena, by uzyskać kod potwierdzający (response), który trzeba następnie wpisać w serwisie transakcyjnym. Z takich tokenów warto korzystać.

Podstawowe zasady bezpiecznego wykonywania przelewów

Podsumujmy zawarte w powyższym tekście porady dotyczące obrony przed programami, które podmieniają numery rachunków w czasie robienia przelewów.

1. VBKlip i Banatrix często przedostają się do systemu za pomocą plików z podwójnym rozszerzeniem nazwy, załączonych do oszukańczych e-maili. Aby ich nie przegapić, warto na stałe włączyć w systemie wyświetlanie rozszerzeń plików.


2. Nie należy instalować oprogramowania z niezaufanych źródeł. W przypadku często używanych aplikacji zaleca się włączenie automatycznych aktualizacji.


3. Przed zagrożeniami, które do podmiany numerów kont wykorzystują systemowy schowek, można obronić się, wpisując te numery do formularza ręcznie, cyfra po cyfrze.


4. ZAWSZE należy sprawdzić, czy wpisany na stronie numer rachunku nie zmienił się, gdyż najnowsze wersje omawianych zagrożeń działają z pominięciem schowka.


5. W przypadku korzystania z jednorazowych kodów wysyłanych za pomocą SMS-ów KONIECZNIE należy sprawdzić, czy numer konta widoczny w otrzymanej wiadomości jest tym samym, na który chcieliśmy przelać pieniądze.


6. Należy zwracać baczną uwagę na to, jakich uprawnień żądają instalowane na smartfonie aplikacje. Warto rozważyć zakupienie prostego telefonu, który będzie służył wyłącznie do odbierania SMS-ów z banku.


7. Jeżeli do potwierdzania transakcji używamy kart–zdrapek albo tokenów generujących kody na bazie czasu bądź licznika, należy koniecznie zmienić metodę autoryzacji.


8. W tej chwili najbezpieczniejszymi metodami potwierdzania przelewów są wysyłane przez bank SMS-y oraz kody generowane przez tokeny z funkcją challenge–response.