-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Uwaga na malware podmieniający numery kont!

22 października 2013, 20:36 | Aktualności | komentarzy 11

CERT Polska ostrzegł dziś przed nowym zagrożeniem dla rodzimych użytkowników bankowości elektronicznej. W sieci grasuje malware, który za pomocą banalnego triku może skutecznie wykraść nasze pieniądze!

Jak ostrzega polski CERT złośliwy program napisany w Visual Basic 6 i stworzony najwyraźniej z myślą o polskich internautach może trafić do nas pod postacią załącznika (archiwum .zip zawierające plik .scr, który z kolei udaje dokument PDF) do wiadomości e-mail.

Po uruchomieniu program tworzy szereg własnych plików w systemie, zagnieżdża się w rejestrze oraz ukrywa własną obecność poprzez przejęcie wywołań niektórych funkcji WinAPI.

Komunikacja z serwerem C&C odbywa się za pomocą protokołu SMTP (przesył danych o zainfekowanym systemie i użytkowniku) oraz żądań HTTP. Poniżej znajdziecie skróty MD5 dla wszystkich odnalezionych do tej pory próbek:

6c0a2b3c59ef0cc1df5a74347c646460 acs.exe
0af108f988b4d7ba00a041c4b5147d37 explore.exe
09ea238ec02f1c61b0af4d9596a0e90e svhcost.exe
c8efcb9657e1b16ba8a926558479e152 taskmgr.exe
303182dd4b3d32bc523153793e5d771f AcroRd.exe

Jak szczegółowo wyjaśnia nasz narodowy CERT, główna funkcja tego złośliwego programu jest bardzo prosta, lecz może się okazać niezwykle skuteczna…

Za każdym razem kiedy użytkownik skopiuje 26 cyfrowy numer do schowka (albo jako jedna liczba, albo w formacie xx xxxx xxxx xxxx xxxx xxxx xxxx) jest on podmieniany na inny, zapisany w oprogramowaniu numer, zachowując format, który został użyty przez użytkownika. Dzieje się to również wtedy, kiedy numer rachunku jest umieszczony w tekście skopiowanym do środka. Przykład obrazujący to zachowanie można zobaczyć na filmie poniżej.

Reasumując, należy zawsze sprawdzać numer rachunku bankowego przed ostatecznym potwierdzeniem jakiejkolwiek transakcji elektronicznej. W celu uniknięcia tego typu infekcji powinniśmy zaś zawsze zachowywać szczególną ostrożność w trakcie otwierania nieznanych załączników lub odnośników.

Jak widać na powyższym przykładzie, skuteczny malware nie zawsze musi się uciekać do bardziej skomplikowanych ataków, takich jak szyfrowanie naszych dysków, czy też przejmowanie kontroli nad naszą przeglądarką internetową.

Jak to zwykle bywa, najprostsze metody ataków mogą się niestety okazać najbardziej skuteczne… zachęcamy więc do ostrzeżenia swoich bliskich oraz znajomych!

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Polecam do bankowości używać wirtualnej maszyny z czystą instalacją linuksa i przywracać ją do migawki po każdej operacji bankowej. Takie podejście jest proste i wyelimunuje zdecydowaną większość szkodliwych programów „czających” się na operacje bankowe

    Odpowiedz
  2. Tomek

    Ok a po numerze konta nie jesteśmy w stanie dojść do właściciela?. Pracownicy banku po numerze konta swoich klientów moga zidentyfikować, wiec policja nie może tego podmienionego numeru konta sprawdzić sa jakieś banki w których to nie jest możliwe?.

    Odpowiedz
    • Tomek,
      Zazwyczaj te konta są zakładane na tzw. słupy (ang. money mule), a dopiero potem pieniądze trafiają dalej. Nie można więc od razu dojść do „mózgu” całego przedsięwzięcia.

      Co jeszcze ciekawsze, takim „słupem” możemy się stać nawet nieświadomie, odpowiadając na internetowe ogłoszenia o pracy, tego typu historię już opisywaliśmy: http://sekurak.pl/uwaga-na-internetowe-rekrutacje/

      Odpowiedz
  3. Gienek

    A macie jakieś sugestie do lekkiej dystrybucji linuxa (z lxde?) do tego celu? Pomijam wykorzystanie Qubes z podlinkowanej wyżej dyskusji.

    Odpowiedz
  4. MateuszM

    @Gienek, lekka ale kompletna może być w zasadzie każda z liczących się dystrybucji. Warto sprawdzić Debiana lub Fedorę – obie ładnie działają z LXDE i są w miarę proste w obsłudze. Warto też zwrócić uwagę na technologie wykorzystywane przez bankowość internetową. Niektóre banki wymagają ściśle określonej wersji JRE a inne Flasha. Zasadniczo Linux to obsługuje ale diabeł siedzi w szczegółach. Osobiście wybieram banki z bankowością internetową stworzoną w HTML + JS (od strony klienta rzecz jasna).

    Qubes to raczej makieta niż realna dystrybucja do codziennego użytku. Projekt czysto naukowy ale warto się z nim zapoznać i wcielać poszczególne elementy.

    Odpowiedz
  5. Amadeuszx

    Jeżeli poza numerem konta uzupełnie dane kontrachenta (nazwę, adres) to taki przelew nie powinien przejść (lub powinna być możliwość reklamowania go), tak?

    Odpowiedz
  6. MateuszM

    @Amadeuszx – Nie. Niektóre banki nawet nie przekazują w ramach sesji ELIXIR takich danych. Dla banku ważne są numery kont oraz kwoty, cała reszta to dodatek umilający człowiekowi życie. Po adresie zamieszkania/siedziby kontrahenta odnajduje Poczta Polska.

    Odpowiedz
  7. @Amadeuszx banki mają obowiązek sprawdzać czy dane kontrahenta są poprawne, ale teoria swoje, a rzeczywistość swoje, więc w większości banków możesz wpisać cokolwiek w odbiorcę byle numer konta się zgadzał i przelew zostanie dostarczony.

    Odpowiedz
  8. co do wirtualizacji ale na trochę innym poziomie http://qubes-os.org/trac wygląda bezpiecznie. Zresztą rozwijany przez znaną w security polkę Joannę Rutkowską.

    Odpowiedz
  9. Fab

    A Alior Bank można sobie wpisać dowolne bzdury w polach adresowych i przelew przechodzi no problem.

    Odpowiedz

Odpowiedz na Tomek