Új generációs banki kártevők

2009. szeptember 30. 14:22 - Csizmazia Darab István [Rambo]

Manapság kihalóban a feltűnési viszketegségben szenvedő vírusíró típus, aki olyan ósdi talmi célok érdekében ténykedne, minthogy benne leszek a TV-ben. A kőkemény üzleti érdekek mentén építkező csoportok mafia szerű szervezettségben, komoly szakmai tudással és tanítani való social engineering taktikával terítik kémprogramjaikat, amivel személyazonosságokat, jelszavakat és banki adatokat gyűjtenek. Ez utóbbi úgy tűnik, kezd szerfelett hatékony lenni.

A Finjan cég biztonsági kutató figyeltek fel egy olyan új banki trójaira, amely többet tesz már, mint a szokásos elődök. Eddig ugye egy ilyen kártevő igyekezett feltelepülni, billentyűzet leütés naplózót telepített, a keletkezett logokat igyekezett kijuttatni a fertőzött gépről, esetleg botnetes zombivá alakította a gépét a hosszútávú elérési lehetőség miatt. Emellett pedig egy komoly adatbázis alapján azonosította a banki weboldalakat, eléréseket. Ez itt is mind megvan, de a most észlelt új trójai banki oldalra való belépés után már valós időben figyeli az egyenleget, és ebből számolja ki, mennyt érdemes ellopnia.

A trójai a kutatók szerint egy meg nem nevezett németországi pénzintézet ügyfeleire specializálódott és Ukrajnából végezték a távirányítást. A Finjan természetesen értesítette erről a német hatóságokat, de ami még érdekesebb, le tudták nyomozni a kommunikációt a kártevő és az ukrán irányító szerver között, ami titkosítatlan csatornán zajlott, és a Lucky Sploit adminisztrációs konzolt használták fel hozzá a bűnözők. Sikerült bepillantás nyerni a statisztikákba is, ebből az derült ki, mintegy 90 ezer gépre küldték ki a trójai kártevőt, amiből 6400 számítógépet (7.5%) sikerült megfertőzni és az irányításuk alá vonni. Az eset még augusztusban történt, és egy 22 napos időtartam alatt a csalók 348 ezer EUR (94 millió HUF) összeget tudtak így a számlákról ellopni.

A trójai terítését fertőzött linkeket tartalmazó e-mail üzenetekkel, weblapok kódjába illesztett hivatkozásokkal végezték, és ha valaki kattintott, akkor egy a webböngészőkben kihasználható exploit kód révén megfertőzte a gépet és várt, mikor lépnek be a megadott német banki oldalra.

Ha ezt észlelte, ellenőrizte az egyenleget, és kiszámolt magának egy optimálisan ellopható összeget, amivel nem az volt a célja, hogy rendes legyen, hanem talán a lelepleződés esélyét próbálta sikeresen csökkenteni, hiszen a *.* összeg eltűnése esetén egy ügyfél azonnal reklamálni kezd. Aztán elküldi a kérelmet a bankba az ellopni kívánt összegről, miközben a böngészőben a felhasználó mindvégig az eredeti egyenleget látja - na ez a zseniális. Körülbelül ugyanaz a helyzet, mint a DIR2FAT DOS kártevő anno "tartotta a táblát" a lemezparancsoknak, és listázáskor a fertőzés előtti, eredeti fájlhosszt jelenítette meg. A lehívott és máshova utalt összegeket úgynevezett öszvérek segítségével juttatják ki az országból. Az ilyen közreműködők sokszor maguk sincsenek teljesen tisztába azzal, hogy amit tesznek, bűncselekmény. Jelentkeznek egy helyi álláshirdetésre (napi két óra, otthonról végezhető munka, kiemelt fizetés), és annyi a feladatuk, hogy jutalékért cserébe megadott számlákra kell továbbutalniuk a nekik érkező, tisztára mosandó pénzeket.

A kártevő ha már ott van, akkor logolja a számla tranzakciókat, képernyőmentéseket csinál és kifürkészi az esetleges Facebook, PayPal és Gmail accountokat is a kutatók szerint. Mindenesetre ha igaz, ez az első olyan banki trójai, amely eltéríti a böngésző sessiont, és közben hamis egyenleget mutat a felhasználónak, így az már csak akkor veszi észre a bajt, ha a havi egyenlegértesítőt postán kézhez kapja, vagy ha időközben egy másik, tiszta gépről bankol.

Miért van az, hogy az ember már egy ilyen zseniális alkotásnak sem tud önfeledten örülni? Talán mert igaz a mondás: "a villamos alá szorult ember mosolya nem őszinte".

5 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr521417565

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

|Z| 2009.09.30. 16:39:21

Tény, hogy ez az első, ami a számlaegyenleget is változtatja, de a Silentbanker is képes volt arra (lassan 2 éve), hogy a böngészőben manipulálja a tranzakciókat - észrevétlenül. És valóban zseniális, hogy itt tart a malware szakma, kíváncsi vagyok 2 év múlva hová jutunk.

atko 2009.10.01. 09:29:17

És küldenek megerősítést kérő sms-t is számlaszámmal összeggel és megerősítő tranzakciós kódszámmal?? Mert anélkül nem igazán lehet utalni az .. banknál.
Ha ezt is tudja majd, akkor én sem fogok felhőtlenül örülni. Így viszont ríszpekt zsoltibékának.
A banki biztonság a bankok felelőssége.

Leeroy of SMV Design 2009.10.01. 19:51:15

@asdfqwert: Remélem oda jutunk, hogy még hatékonyabb anti-malware programok fogják detektálni és eltávolítani az ehhez hasonló kártevőket, még mielőtt valóban baj történik.

Err0r 2009.10.01. 20:40:13

@atko
Szerinted hány ember olvassa el az SMS-beli szöveget? Csak a kódot. A képen azt látod, hogy jó helyre megy a pénz, míg az SMS-ben valóban már a rossz szla szám, de Te ellenőrzöd? Mert én is csak ezek után fogom ellenőrizni. Ja, és boot linux. :)

ui:
a bankbiztonsághoz csak annyit, hogy amíg ott a pénz, igazad van. Ha netbankolsz, már a Tiéd. A bank nem vállal felelősséget a Te géped tisztaságáért.....

atko 2009.10.02. 09:11:09

@Err0r:
Hát nekem a számlaszámot és az összeget küldi sms-ben + a megerősítő kód utolsó x számát. A mobilszámomat nem hiszem hogy a böngésző tudhatja + a telefonkönyvben el van tárolva a netbank telefonszám, ergo ha nem onnan jönne a nemjöhető sms... szóval elég nagy tudás kéne a rendszer megszívatásához.
A netbank rendszer biztonsága pedig a bank felelőssége, mert ha nem épít be több biztonsági pontot, (pl a mobilszámom ők tárolják) akkor hiába szűz a gépem.