Uwaga na zainfekowane wiadomości na Skype
Specjaliści z Doctor Web ostrzegają przed trojanami z rodziny BackDoor.Caphaw, które wykradają m.in. hasła do logowania w systemach bankowości elektronicznej. W celu zainstalowania złośliwego oprogramowania na komputerach, cyberprzestępcy posłużyli się wiadomościami wysyłanymi przez komunikator internetowy Skype.
BackDoor.Caphaw to rodzina trojanów bankowych. Przejmują one funkcje różnych aplikacji, w tym przeglądarek i systemów bankowości elektronicznej, umożliwiając cyberprzestępcom uzyskanie dostępu do wszystkich informacji wprowadzanych przez użytkownika, w tym do loginów i haseł.
Infekcje komputerów trojanem BackDoor.Caphaw odnotowano już w ubiegłym roku. Kolejne przypadki dystrybucji BackDoor.Caphaw z zastosowaniem masowej wysyłki wiadomości na Skype zarejestrowano w październiku tego roku, jednak największą skalę przybrały w okresie od 5 do 14 listopada. Do rozprzestrzeniania trojanów przestępcy wykorzystali wiadomości phishingowe, które swoją budzącą zaufanie formą mają zachęcić użytkowników do otwarcia załączonego szkodliwego pliku. W przypadku ostatnich infekcji, wiadomości te zawierały link do pliku o nazwie invoice_ XXXXX.pdf.exe.zip (gdzie XXXXX to losowy zestaw liczb).
Do masowej dystrybucji trojanów bankowych wykorzystywane były luki w zabezpieczeniach Skype oraz samokopiowanie na dyski wymienne i sieciowe.
Po instalacji w systemie operacyjnym, złośliwe oprogramowanie zapisuje w folderze aplikacji swoją kopię w postaci pliku o dowolnej nazwie i modyfikuje klucz rejestru systemowego odpowiedzialnego za automatyczne uruchamianie programów. Następnie BackDoor.Caphaw próbuje przeniknąć do uruchomionych programów i nawiązuje połączenie z serwerem cyberprzestępców. Równocześnie monitoruje on aktywność użytkownika, śledząc wyniki jego działań. Po wykryciu próby połączenia się z systemami bankowości elektronicznej, jest w stanie przechwycić wprowadzane w nich dane.
Kolejna funkcjonalność trojana to zdolność do zapisu strumienia wideo na zainfekowanym komputerze i wysyłania go do serwera cyberprzestępców w postaci archiwum RAR. Poza tym BackDoor.Caphaw potrafi zdalnie uruchamiać dodatkowe moduły, które realizują takie funkcje jak uruchomienie serwera VNC czy przechwytywanie i przekazywanie przestępcom haseł do różnych programów, takich jak np. klient FTP. Potrafi on także ingerować w główny sektor startowy (MBR - Master Boot Record) dysku twardego i dystrybuować do użytkowników Skype’a linki prowadzące do złośliwego oprogramowania.
Jak się bronić?
Aby zabezpieczyć się przed takimi zagrożeniami jak BackDoor.Caphaw, warto odpowiednio skonfigurować program Skype, tak, aby zablokować otrzymywanie plików i wiadomości od nieznajomych. Ponadto nie należy pobierać nieznanych plików, nawet, jeżeli pochodzą od znajomych, ponieważ ich komputery mogą być już zainfekowane tym rodzajem złośliwego oprogramowania.