Wirus, który sprawi, że sam przelejesz pieniądze przestępcom

Wirus, który sprawi, że sam przelejesz pieniądze przestępcom

Wirus, który sprawi, że sam przelejesz pieniądze przestępcom
Źródło zdjęć: © WP.PL
24.10.2013 11:58, aktualizacja: 25.10.2013 10:42

Specjaliści z CERT Polska informują, że na początku października otrzymali informację o nowym rodzaju zagrożenia dla polskich użytkowników bankowości elektronicznej. Uzyskano próbkę złośliwego oprogramowania, napisanego w Visual Basic 6, którego mechanizm działania był nadzwyczaj prosty jak na zagrożenia tego typu. Jego działanie opierało się na podmienianiu numeru konta na numer konta kontrolowany przez cyberprzestępców. Podmiana ta następowała jeśli jakikolwiek numer konta został skopiowany do schowka systemu Windows.

Obraz
© (fot. Thinkstockphotos)

Do infekcji komputera dochodzi za pomocą wiadomości e-mail, do której załączane jest archiwum zip, w którym znajduje się plik .scr (wygaszacz systemu Windows). Użytkownik rozpakowując archiwum myśli, że w środku znajdują się pliki przeznaczone dla niego. Jest to typowy atak phishingowy. Plik wygaszacza ekranu ma ikonę oraz nazwę, która sprawia, że można uznać go za plik PDF. Następnie malware tworzy pliki, które są podobne do znanych plików systemu Windows.

W celu zapewnienia uruchomienia przy starcie systemu, niebezpieczny plik dodaje się do klucza rejestru Windows. Dodatkowo, szkodnik ukrywa swoją obecność przejmując wywołanie niektórych funkcji interfejsu systemu operacyjnego. Dzięki temu, mimo obecności wpisu w rejestrze ciężko jest odnaleźć plik na dysku, gdyż nie jest widoczny nawet po włączeniu opcji pokazywania plików ukrytych i systemowych.

Schemat działania szkodnika

Malware, po utworzeniu wcześniej wymienionych plików, uruchamia wszystkie te komponenty. Każdy z nich jest stworzony w innym celu. Elementem, który komunikuje się z serwerem kontroli wirusa (C&C - ang. Command & Control) jest taskmgr.exe. Komunikacja odbywa się na dwa sposoby - za pomocą protokołu SMTP, wysyłając e-mail korzystając z danych logowania zawartych w kodzie oprogramowania. E-mail zawiera dane dotyczące komputera (system operacyjny, nazwa użytkownika itp.). Dzięki temu cyberprzestępcy są w stanie śledzić infekcję. Oprócz tego wysyłane jest żądanie HTTP do strony, która generuje statystyki odwiedzin.

Banalny mechanizm podmiany numeru rachunku bankowego

Za każdym razem kiedy użytkownik skopiuje 26-cyfrowy numer do schowka (albo jako jedna liczba, albo w formacie xx xxxx xxxx xxxx xxxx xxxx xxxx) jest on podmieniany na inny, zapisany w oprogramowaniu numer, zachowując format, który został użyty przez użytkownika. Dzieje się to również, kiedy numer rachunku jest umieszczony w tekście skopiowanym do środka. Przykład obrazujący to zachowanie można zobaczyć na filmie poniżej:

Oznacza to, że ryzykujemy podmianą numeru rachunku bankowego za każdym razem, kiedy kopiujemy ten numer do schowka. Najczęściej kopiujemy numery kont bankowych:
- z faktury, którą chcemy zapłacić,
- ze strony internetowej aukcji, gdy chcemy zapłacić za nią przelewem,
- z wiadomości e-mail zawierającej numer rachunku, na który mamy dokonać wpłaty,
- z komunikatora internetowego, gdy koleżanka bądź kolega wysyła nam swój numer konto do dokonania przelewu.

Groźny wirus ze względu na prostotę i efektywność

Pomimo swojej prostoty nowy wirus to bardzo efektywny sposób oszukania użytkowników. Dlatego tak istotne jest sprawdzenie numeru rachunku na stronie, na której potwierdzamy wykonanie przelewu. CERT Polska był w stanie ustalić, iż zostało zainfekowanych ponad 300. użytkowników. Malware był zdecydowanie skierowany do polskich internautów - numer konta bankowego używanego do kradzieży środków był w jednym z polskich banków.

Źródło: CERT

Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (436)