Загрузка...
Создать учётную запись

13 авг

Банковский троян в ходе атаки использовал правительственный сервер

865 просмотры

Экспертами ESET был обнаружен банковский троян, который нацеливался на пользователей из Бразилии. Особенность данной угрозы заключалась в использовании при кибер атаке уязвимости, найденной мошенниками в правительственном почтовом сервере.


С целью похищения важной конфиденциальной информации данная угроза устанавливала особое расширение для интернет - браузера Google Chrome. Благодаря этому расширению злоумышленники могли перехватывать вводимые пользователем аутентификационные данные, которые нужны для вхождения в систему онлайн-банкинга. Надо отметить, в Бразилии кибер-преступники достаточно часто используют вредоносное банковское ПО, получая от этого большую прибыль.


Антивирусными решениями компании ESET данный вредоносный код детектируется как MSIL/Spy.Banker.AU. Эта угроза распространялась при помощи специальной спам-кампании. Главное звено в такой схеме - дроппер, отвечающий за установку требуемых javascript-объектов и динамических DLL-библиотек на скомпрометированном ПК.


После установления в Google Chrome спецрасширения, оно приступало к мониторингу всех посещаемых пользователем сайтов, стремясь к отслеживанию веб-ресурсов финансовых учреждений Бразилии. Как только интернет-пользователь заходил в свою учетную запись на каком-то из таких ресурсов, в мгновение ока все аутентификационные данные отправлялись на преступный сервер. Для отправки, кстати, выбран был довольно необычный способ – кибер-преступниками использовалась уязвимость, имеющаяся в конфигурации сервера, который принадлежал бразильскому правительству.


Эта уязвимость, выявленная злоумышленниками в настройках сервера, дала возможность хакерам применять gov.br - учетную запись электронной почты с целью перенаправления с него писем на 2 различных аккаунта e-mail, принадлежащих одному из самых часто используемых сервисов почты.


Используя аккаунт gov.br, этот плагин отправлял кибер-мошенникам два письма: 1-вое из них сигнализировало о том, что произошло новое заражение, а 2-рое сообщало, что пользователь авторизовался в системе онлайнового банкинга. Вредонесущие скрипты содержали обширный список самых разных банковских доменов, при посещении которых пользователем необходимые для проведения аутентификации данные фиксировались и отправлялись на адрес электронной почты злоумышленников.


За счёт совместной работы бразильских правоохранительных органов и экспертов ESET, участвовавшие в проведении кибератаки почтовые аккаунты были заблокированы, а уязвимость

сервера почты, которая использовалась злодеями для получения ими аккаунта gov.br, была устранена.

 
Источник: www.esetnod32.ru
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.