Katsuro
Professional
- Messages
- 353
- Reaction score
- 40
- Points
- 28
Обычно под термином «банковский» подразумеваются трояны, нацеленные на кражу данных пользователей, необходимых для проведения платежных транзакций через Интернет. Однако специалисты в области безопасности обнаружили новый образец кардерской программы, имеющую те же задачи, но способы извлечения информации намного изощренней. По сути это руткит с задачей перехвата нужных данных. Он активно распространяется среди пользователей систем он-лайн банкинга в Бразилии посредством drive-by download атаки. По словам исследователя в области безопасности Фабио Ассолини схема атаки достаточно проста. Суть ее заключается в том, что посетители популярных ресурсов перенаправляются на замаскированные под легитимные фишинговые сайты. Однако отличительной особенностью вредоноса является то, что он способен не только изменить конфигурацию процесса загрузки, но и обойти систему защиты операционных систем, имеющих архитектуру x64 и x32. Для атаки хакеры используют Java апплет, который снабжен набором вредоносных кодов; каждый из них имеет определенную задачу. Попадая на компьютер жертвы, посредством неисправленных уязвимостей в среде исполнения Java (JRE) файл "add.reg", отключает защитный механизм контроля аккаунта пользователей (UAC) и добавляет в системный реестр поддельный сертификат "cert_override.txt" с цифровой подписью CA. Модификация процесса загрузки происходит благодаря файлу "bcdedit.exe". Этот компонент добавляет в папку с легитимными драйверами два новых "plusdriver.sys" и "plusdriver64.sys". При повторной загрузке они активируются и модифицируют файл хоста. В результате, ничего не подозревающий пользователь, при посещении веб-страниц он-лайн банкинга оказывается на поддельном веб-сайте. При этом даже соединение осуществляется по якобы защищенному протоколу Https, о чем свидетельствует появившееся изображение.
02.06.2011
inattack.ru
02.06.2011
inattack.ru
