Złośliwe oprogramowanie bankowe jest coraz bardziej przekradkowe, firmy bezpieczeństwa ostrzegają

Autorzy szkodliwych programów finansowych próbują uniknąć nowych systemów zabezpieczeń bankowości internetowej, powracając do bardziej tradycyjnych technik kradzieży poświadczeń typu phishing, według naukowców z firmy ochroniarskiej Trusteer.

Większość finansowych trojanów Programy wykorzystywane obecnie przez cyberprzestępców są w stanie manipulować w czasie rzeczywistym sesjami bankowości internetowej zainicjowanymi przez ofiary na ich komputerach. Obejmuje to możliwość wykonywania nieuczciwych transakcji w tle i ukrywania ich przed użytkownikiem poprzez modyfikowanie stanu konta i wyświetlania historii transakcji w przeglądarce.

W rezultacie banki zaczęły wdrażać systemy, aby monitorować interakcje klientów z ich witrynami i wykrywa anomalie, które mogą wskazywać na aktywność szkodliwego oprogramowania. Wydaje się jednak, że niektórzy twórcy szkodliwego oprogramowania powracają do bardziej tradycyjnych technik, które polegają na kradzieży danych uwierzytelniających i wykorzystywaniu ich z innego komputera, aby uniknąć wykrycia.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Znane trojany, nowa technika

Naukowcy Trusteer wykryli ostatnio zmiany w trojanach finansowych Tinba i Tilon, których celem było uniemożliwienie ofiarom dostępu do prawdziwych stron internetowych bankowości internetowej i zastąpienie ich stron logowania fałszywymi wersjami.

"Kiedy klient uzyskuje dostęp do strony internetowej banku, złośliwe oprogramowanie przedstawia całkowicie fałszywą stronę internetową, która wygląda jak strona logowania do banku "- powiedział w czwartek na blogu główny specjalista ds. technologii Trusteer, Amit Klein. "Gdy klient wprowadzi swoje dane logowania do fałszywej strony, złośliwe oprogramowanie wyświetli komunikat o błędzie z informacją, że usługa bankowości internetowej jest obecnie niedostępna. W międzyczasie szkodliwe oprogramowanie wysyła skradzione dane logowania do oszusta, który następnie używa zupełnie innej maszyny zaloguj się do banku jako klient i dokonuj nieuczciwych transakcji. "

Jeśli bank stosuje uwierzytelnianie wieloskładnikowe, które wymaga jednorazowych haseł (OTP), złośliwe oprogramowanie również prosi o podanie tych informacji na fałszywej stronie.

Ten rodzaj kradzieży danych uwierzytelniających jest podobny do tradycyjnych ataków phishingowych, ale jest trudniejszy do wykrycia, ponieważ adres URL w pasku adresu przeglądarki jest rzeczywistą stroną internetową, a nie fałszywą.

"To nie jest tak wyrafinowane jak wprowadzanie transakcji do sesje bankowości internetowej w czasie rzeczywistym, ale realizuje cel uniknięcia wykrycia - powiedział Klein.

Ta funkcja "zastępowania całej strony" jest obecna w wersji 2 Tinba, którą badacze Trusteer niedawno opublikowali odkryłeś i przeanalizowałeś. Szkodliwe oprogramowanie obsługuje Google Chrome i próbuje ograniczyć ruch sieciowy, przechowując obrazy załadowane na fałszywą stronę lokalnie.

Już w użyciu

Według naukowców Trusteer, Tinba v2 jest już używana w atakach ukierunkowanych na duże finansowe instytucje i konsumenckie usługi sieciowe.

"Banki zawsze miały do ​​czynienia z dwoma wektorami ataku w kanale internetowym" - powiedział Klein. "Pierwszą z nich jest kradzież poświadczeń. Istnieje wiele sposobów na wykonanie tego typu ataku, w tym złośliwego oprogramowania, pharmingu i phishingu." Drugim wektorem ataku jest przechwytywanie sesji, które odbywa się za pomocą szkodliwego oprogramowania. Te dwa wektory wymagają dwóch różnych rozwiązań. "

Banki powinni upewnić się, że chronią oba typy ataków, w przeciwnym razie cyberprzestępcy szybko dostosują swoje techniki, powiedział Klein. "Nie możesz zamknąć drzwi i zostawić otwarte okno."