Nowy trojan zagraża użytkownikom bankowości online
Specjaliści z firmy antywirusowej Doctor Web ostrzegają przed najnowszą wersją złośliwego oprogramowania typu Trojan.PWS.Ibank, wykradającego hasła do logowania oraz inne poufne informacje. W zaktualizowanej postaci, Trojan.PWS.Ibank.752 stanowi zagrożenie nie tylko dla klientów bankowości elektronicznej, ale również dla posiadaczy aplikacji biznesowych typu SAP.
Trojan.PWS.Ibank.752 należy do znanej rodziny trojanów bankowych. Ich podstawowa funkcjonalność i związane z nią zagrożenie polega na tym, że przejmując funkcje różnych aplikacji, w tym przeglądarek i systemów bankowości elektronicznej, umożliwiają one uzyskanie dostępu do wszystkich informacji wprowadzanych przez użytkownika, w szczególności do loginów i haseł. Poza narażeniem właścicieli zainfekowanych urządzeń na utratę pieniędzy czy wrażliwych danych, Trojan.PWS.Ibank.752 utrudnia również dostęp do witryn firm antywirusowych.
Szkodliwe funkcje złośliwego oprogramowania typu Trojan.PWS.Ibank to m.in.: kradzież haseł użytkowników, blokowanie dostępu do witryn firm antywirusowych, uruchomienie na zainfekowanym komputerze serwera proxy i serwera VNC, zniszczenie systemu operacyjnego lub obszarów dysku startowego.
Czym wyróżnia się Trojan.PWS.Ibank.752?
Z badania przeprowadzonego przez specjalistów z Doctor Web wynika, że w porównaniu z poprzednimi wersjami, nowy Trojan.PWS.Ibank.752 różni się zmodyfikowaną architekturą bota, mechanizmami komunikacji międzyprocesowej IPC i zniesionym podsystemem SOCKS5 (rodzaj protokołu pośredniczącego, wykorzystywanego w celu zabezpieczenia komunikacji). Równocześnie niezmieniony pozostał wykorzystywany przez trojana wewnętrzny mechanizm szyfrowania, rodzaj biblioteki dynamicznej, a także protokół komunikacji z serwerem zarządzającym cyberprzestępców.
Aby utrudnić wykrycie trojana, w czasie instalacji ma miejsce próba uruchomienia go w wirtualnej maszynie lub w środowisku "sandbox" - narzędziu pozwalającym na kontrolowanie pracy różnych programów. Korzystając z mechanizmów właściwych dla 32-bitowych i 64-bitowych dystrybucji Microsoft Windows, złośliwe oprogramowanie typu Trojan.PWS.Ibank.752 próbuje na różne sposoby przeniknąć do systemu operacyjnego. Główny moduł trojana umożliwia cyberprzestępcom realizację dwóch nowych komend: jedna z nich aktywuje lub deaktywuje blokadę klientów bankowości elektronicznej, druga pozwala otrzymać plik konfiguracyjny od serwera zarządzającego.
Trojan.PWS.Ibank.752 groźny dla użytkowników oprogramowania SAP
Trojan.PWS.Ibank potrafi integrować się z różnymi procesami, przy czym zaktualizowana wersja posiada dodatkową funkcjonalność, umożliwiającą sprawdzenie nazw działających rodzajów oprogramowania, m.in. klienta systemu SAP (zbioru aplikacji biznesowych automatyzujących zarządzanie przedsiębiorstwem). Oprogramowanie to ma charakter modułowy i często jest związane z dostępem do poufnych, wrażliwych z biznesowego punktu widzenia, informacji, takich jak dane kadrowe lub księgowe.
Pierwsza wersja trojana, czyli Trojan.PWS.Ibank.690, była rozprzestrzeniana w czerwcu. Umożliwiała ona sprawdzenie dostępności oprogramowania SAP w zainfekowanym systemie.
"Wzrost zainteresowania twórców złośliwego oprogramowania systemami typu SAP i ERP powinien zwrócić uwagę ekspertów ds. bezpieczeństwa. Przy użyciu podobnych technologii do tych wyżej opisanych, cyberprzestępcy mogą próbować wykraść informacje istotne dla przedsiębiorstw, przetwarzane właśnie w tych systemach. I choć do tej pory nie odnotowano żadnego destrukcyjnego działania zagrożeń typu Trojan.PWS.Ibank na systemy SAP, ich funkcjonalności powinny zwiększyć czujność administratorów sieci firmowych, aby na czas zapobiegli wyciekowi poufnych danych." - powiedział Piotr Tyborowski, Doradca ds. Wsparcia Technicznego Doctor Web.
