Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Włamanie do banku w 21 wieku

Siergiej Golowanow
Kaspersky Lab Expert
Dodany 23 marca 2010, 10:46 CET

Szkodliwe programy zainteresowane poufnymi danymi wykorzystywanymi do uzyskiwania dostępu do systemów bankowości internetowej od dawna stanowią zmorę organizacji finansowych na całym świecie. Analitycy mówią o wielu milionach skradzionych dolarów, natomiast osoby, którym wyczyszczono konta bakowe, z goryczą skarżą się, że zostali na lodzie, bez żadnego odszkodowania.



Liczba wyników wyszukiwania kombinacji “stolen+money+bank+Trojan” w Google

Dlatego pojawienie się kolejnego szkodliwego oprogramowania, który został stworzony po to, aby pozbawić nieostrożnych użytkowników części ich środków pieniężnych, nie jest żadną nowością. Pozwala jednak zrozumieć, w jaki sposób cyberprzestępcy próbują dobrać się do twoich pieniędzy.

Atak Gumblara

Ostatniej wiosny mieliśmy do czynienia z masowymi włamaniami na strony internetowe. Tym razem winnym okazał się downloader skryptów Gumblar. Dzięki niemu luki w zabezpieczeniach online po raz kolejny znalazły się w centrum uwagi. Od tego czasu system dystrybucji wykorzystywany przez Gumblara stał się sposobem na rozprzestrzenianie wielu innych szkodliwych programów.



Cykl ataków Gumblara. Źródło: www.digitalthreat.net

Gumblar nadal znajduje się w czołówce naszego miesięcznego rankingu, a nasi analitycy ciągle badają sprawę, śledząc wszystkie zhakowane strony. Podczas monitorowania Gumblara zidentyfikowaliśmy wiele technik infekowania stron internetowych. Główną techniką było wykorzystywanie skradzionych haseł w celu uzyskania dostępu do zasobów FTP. Zauważyliśmy, że te same strony były wielokrotnie hakowane, nawet po tym jak ich administratorzy poinformowali, że są już całkowicie bezpieczne. To pokazuje, że cyberprzestępcy są ciągle aktywni i potrafią od razu wyczuć szansę obłowienia się.

Podczas ostatniego wejścia na stronę zainfekowaną przez Gumblara komputer testowy został zarażony (poprzez kolejną lukę w zabezpieczeniach produktu firmy Adobe) wariantem Bredolaba.



Fragment zrzutu zawartości pamięci Backdoor.Win32.Bredolab

Technika ta nie była wcale nowa, zauważyliśmy jednak coś niespodziewanego: monitorując trojana Bredolab, odkryliśmy, że program ten wykazuje raczej niezdrowe zainteresowanie kluczem rejestru HLM\Software\BIFIT. Klucz ten zawiera informacje o programach zainstalowanych na komputerze, które są wykorzystywane do przeprowadzania transakcji online, i został opracowany przez firmę BIFIT. Szkodliwy program, który został zidentyfikowany jakoTrojan-Banker.Win32.Fibbit.a, został następnie zainstalowany na zainfekowanym komputerze podczas kolejnej aktualizacji z centrali botnetu.

Fibbit

Po uruchomieniu szkodliwe oprogramowanie kopiuje się do pliku %windir%\system32\winsrv32 lub %TEMP%\winsrv32.exe. Po wypakowaniu pliku wykonywalnego z głównego ciała program wstrzykuje go do następujących procesów: svchost.exe, explorer.exе, iexplore.exe, firefox.exe, opera.exe, java.exe oraz javaw.exe. Szkodliwy program dodaje siebie również do grupy startowej oraz do procesu svchost.exe do listy wyjątków, aby uniemożliwić zablokowanie go przez standardową zaporę sieciową systemu Windows. Trojan przeszukuje system w celu znalezienia nazw klas okien SunAwtFrame, javax.swing.JFrame, MSAWT_Comp_Class o tytułach “Вход в систему” (Wejdź do systemu), “Welcome” lub “Синхронизация с банком” (Zsynchronizuj z bankiem). Po znalezieniu okien trojan przechwytuje wszystkie związane z nimi uderzenia klawiszy, kopiuje dane ze schowka, szuka plików certyfikatu o rozszerzeniu .jks, przechwytuje zrzuty ekranu i czyta plik keys.dat. Wszystkie znalezione dane są następnie pakowane w archiwum CAB i wysyłane do serwera cyberprzestępcy.

W połowie 2008 roku, gdy BIFIT po raz pierwszy powiadomił banki i użytkowników o trojanie, który potrafi kraść pieniądze za pośrednictwem systemu iBank 2, skradzione dane uwierzytelniające wykorzystywane do uzyskiwania dostępu do banków internetowych zostały wysłane cyberprzestępcom na adres i-bifit.com oraz i-bifit.in. Obecnie informacje o transakcjach bankowych skradzione przez Fibbit są gromadzone przez strony stanowiące część autonomicznego systemu AS29371 wykorzystywanego przez cyberprzestępców do wykonywania nielegalnych działań, który teraz jest już dobrze znany analitykom bezpieczeństwa.



Próbka struktury serwera wykorzystywanego do przesyłania danych potrzebnych do wykonywania nielegalnych transakcji bankowych

Jak tylko cyberprzestępcy uzyskają wszystkie dane, których potrzebują, wysyłają trojanowi polecenie nakazujące zablokowanie dostępu użytkownika do jego serwisu bankowości online. Gdy użytkownik próbuje wejść na odpowiednią stronę, ukazuje się okienko wyskakujące informujące, że odbywają się prace konserwacyjne sewera:



Okienko dialogowe informujące użytkownika, że “serwer podlega naprawie” i usługi „mogą być tymczasowo niedostępne lub działać niepoprawnie”

Uniemożliwiając użytkownikowi uzyskanie dostępu do usług online banku, cyberprzestępcy próbują ukryć fakt, że ma miejsce kradzież. W ten sposób mają wystarczająco dużo czasu, aby przelać pieniądze z konta wykorzystując do tego fałszywe konta, internetowe systemy płatności oraz internetowe kantory wymiany walut, co pozostawia złożony ślad i uniemożliwia ukrycie początkowych transakcji.

Po wykonaniu swojego zadania trojan kończy działania, nie dokonuje jednak samozniszczenia, co oznacza, że cyberprzestępcy mogą okraść użytkownika ponownie w późniejszym czasie, jeśli będą tego chcieli.

Przegląd tygodniowy

Tydzień po wykryciu trojana Trojan-Banker.Win32.Fibbit.a do kolekcji szkodliwego oprogramowania firmy Kaspersky Lab zostało dodanych ponad sto wariantów tego szkodnika. Analiza różnic między nimi pokazuje, że cyberprzestępcy wykorzystują proste narzędzia do szyfrowania, aby utrudnić wykrywanie programom antywirusowym.

Według danych pochodzących z systemu Kaspersky Security Network, trojan ten pokazuje się około sto razy dziennie. Zablokowano ponad tysiąc prób połączenia się z zasobami umieszczonymi na czarnej liście, do których wysyłane są skradzione dane bankowe. Biorąc pod uwagę udział firmy Kaspersky Lab w rosyjskim rynku, w Rosji musi znajdować się około 8000 komputerów zainfekowanych tym szkodliwym programem.

Po zbadaniu programu Trojan-Banker.Win32.Fibbit.a możemy powiedzieć, że stosuje te same technologie co niesławny Trojan-Spy.Win32.BZub i Trojan-Spy.Win32.Zbot. Autorzy najwyraźniej zdecydowali, że nie ma potrzeby wywarzać otwartych drzwi i pozostali przy tym, co już wiedzieli. Mimo to liczba zainfekowanych komputerów znajduje się na niepokojąco wysokim poziomie, w związku z czym warto przypomnieć zalecenia BIFIT dla swoich klientów:

  • dopilnuj, aby dostęp do komputera mieli tylko zaufani użytkownicy.
  • pobieraj lub aktualizuj aplikacje jedynie z zaufanych źródeł, które na pewno są wolne od szkodliwego oprogramowania. Należy zapewnić również integralność aktualizacji otrzymywanych za pośrednictwem nośników przenośnych lub pobieranych z Internetu
  • wykorzystuj uaktualnione oprogramowanie bezpieczeństwa, takie jak rozwiązania antywirusowe, osobiste zapory sieciowe, produkty zapewniające ochronę przed nieautoryzowanym dostępem itd.
  • postępuj zgodnie z zasadami bezpieczeństwa internetowego, aby pozostać bezpiecznym online.

Jeżeli podczas próby połączenia się z serwerem twojego banku pojawi się komunikat o błędzie, natychmiast skontaktuj się z bankiem i dowiedz się, czy serwery działają poprawnie oraz kiedy dokonano ostatniej transakcji.