Itt egy új banki trójai skalpja

2013. szeptember 09. 13:28 - Csizmazia Darab István [Rambo]

Elsősorban Törökországban, Csehországban, Portugáliában és az Egyesült Királyságban okozott eddig károkat. A támadók célja, hogy megszerezzék a bejelentkezési adatokat, hogy hozzáférhessenek az áldozat bankszámlájához és rávegyék őket, hogy telepítsék a rosszindulatú program mobilokra optimalizált változatát Symbian, Blackberry és Android-alapú telefonjukra.

Eredetileg augusztus elején fedezték fel Csehországban, az elkövetők ekkor regisztrálták be a www.ceskaposta.net domaint, mely nagyon hasonló a Cseh Posta valódi oldalához, így próbálták megtéveszteni az áldozataikat. Az ESET rosszindulatú programokkal foglalkozó kutatólaborja szerint az alkalmazott malware egy banki trójai, és sok tekintetben hasonló funkcionalitással, célokkal rendelkezik, mint a korábbról ismert hírhedt Zeus és SpyEye botnetes kártevők: banki adatokat igyekszik lopni. Talán emlékezetes lehet, hogy idén januárban mi is beszámoltunk itt a blogban egy olyan Zeus változatról, amelyik tökéletes magyarsággal hazai pénzintézetek ellen próbált támadást intézni

Ám a Hesperbot számos megoldásában jelentősen különbözik ezektől, így a szakértők szerint ez biztosan nem egy korábbi kórokozó új variánsa, hanem egyértelműen egy európai és ázsiai banki adatok megszerzésére specializálódott vadonatúj malware családdal van dolgunk.  Napjaink korszerű kártevőihez hasonlóan a Win32/Spy.Hesperbot is rendelkezik számos szokásosnak mondható funkcióval, mint például a billentyűleütés-naplózás, képernyőképek és képernyővideók titokban való készítési lehetősége, távoli proxy szerver használata. 

Ugyanakkor ezenfelül néhány bonyolultabb trükkre is képes, mint például távoli és rejtett kapcsolódás a megfertőzött rendszerhez, le tudja hallgatni a hálózati adatforgalmat is, valamint a HTML kódba való közvetlen injektálásra is használható. Szakértők szerint nem meglepő, hogy a támadók a postai szolgáltatásokat tartalmazó (csomag nyomonkövetési információk), adathalászó e-maileken keresztül próbálták meg futtatni a rosszindulatú programokat, ugyanis ezt a fajta technikát már nagyon sokszor alkalmazták korábban is.

Robert Lipovsky, az ESET malware kutatója szerint az ESET Smart Security és az ESET Mobile Security termékek tökéletes védelmet nyújtanak ilyen fajta fenyegetések ellen. A WeLiveSecurity.com oldal blogposztjában még több információt találnak a Hesperbot malware elemzéséről, illetve maga a WeLiveSecurity.com az ESET új felülete, amely rendszeresen a legfrissebb információkkal, elemzésekkel és hasznos biztonsági tippekkel szolgál az érdeklődőknek.

1 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2013.09.09. 18:40:26

Közben megérkezett a részletes technikai elemzés folytatása is, benne az eltérített certificate ellenőrzéssel:
www.welivesecurity.com/2013/09/09/hesperbot-technical-analysis-part-22/
süti beállítások módosítása