Банковское вредоносное ПО становится неистовым, службы безопасности предупреждают

Авторы финансовых вредоносных программ пытаются уклониться от новых систем безопасности онлайн-банкинга, вернувшись к более традиционным методам хищения, подобным фишингу, согласно исследователям из охранной фирмы Trusteer.

Большинство финансовых троянских программ программы, используемые киберпреступниками сегодня, способны подрывать в реальном времени сеансы онлайн-банкинга, инициированные жертвами на их компьютерах. Это включает в себя возможность совершать мошеннические транзакции в фоновом режиме и скрывать их от пользователя, изменяя баланс счета и историю транзакций в своем браузере.

В результате банки начали развертывать системы для мониторинга того, как клиенты взаимодействуют со своими веб-сайтами и обнаруживать аномалии, которые могут указывать на активность вредоносных программ. Тем не менее, кажется, что некоторые создатели вредоносных программ возвращаются к более традиционным методам, которые включают кражу учетных данных и использование их с другого компьютера, чтобы избежать обнаружения.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Знакомые трояны, новая техника

Исследователи Trusteer недавно обнаружили изменения в финансовых троянских программах Tinba и Tilon, предназначенных для предотвращения доступа жертв к реальным веб-сайтам онлайн-банкинга и замены их страниц входа в систему с помощью версий-изгоев.

«Когда клиент обращается к веб-сайту банка, вредоносное ПО представляет собой совершенно фальшивую веб-страницу, которая похожа на страницу входа в систему банка », - заявил в четверг в блоге по электронной почте главный редактор Trusteer Амит Клейн. «Как только клиент вводит свои учетные данные для входа в поддельную страницу, вредоносное ПО представляет сообщение об ошибке, в котором утверждается, что услуга онлайн-банкинга в настоящее время недоступна. В то же время вредоносная программа отправляет украденные учетные данные для мошенника, который затем использует совершенно другую машину для войдите в банк в качестве клиента и совершит мошеннические транзакции ».

Если банк использует многофакторную аутентификацию, требующую одноразовых паролей (OTP), вредоносное ПО также запрашивает эту информацию на поддельной странице.

Этот тип кражи учетных данных аналогичен традиционным фишинговым атакам, но его сложнее обнаружить, потому что URL-адрес в адресной строке браузера является адресом реального веб-сайта, а не поддельным.

«Это не так сложно, как впрыскивание транзакций в веб-банкинга в режиме реального времени, но он выполняет свою задачу уклонения от обнаружения », - сказал Кляйн.

Эта функция« полной замены страниц »присутствует в версии 2 Tinba, в которой исследователи Trusteer y обнаружены и проанализированы. Вредоносная программа поставляется с поддержкой Google Chrome и пытается ограничить свой сетевой трафик, сохраняя изображения, загруженные на поддельную страницу локально.

Уже используется

По словам исследователей Trusteer, Tinba v2 уже используется в атаках, нацеленных на крупные финансовые учреждений и потребительских веб-сервисов.

«Банки всегда сталкивались с двумя атаками в онлайн-канале», - сказал Клейн. «Первый - это кража учетных данных. Существуют различные способы выполнения этого типа атаки, включая вредоносное ПО, фарминг и фишинг. Второй вектор атаки - захват сеанса, который достигается с помощью вредоносного ПО. Эти два вектора требуют двух разных решений».

Банки должны убедиться, что у них есть защита на месте против обоих типов атак, иначе киберпреступники быстро адаптируют свои методы, сказал Клейн. «Вы не можете поместить замок в свою дверь и оставить окно открытым».