Новый банковский троян Hesperbot атакует Чехию, Англию и Тайланд

10/09/2013 10:59

В середине августа специалисты антивирусной компании ESET зафиксировали распространение вредоносного ПО под названием Hesperbot, нацеленного на пользователей сиcтем дистанционного банковского обслуживания Чехии. По своим возможностям Win32/Spy.Hesperbot напоминал уже известных Zeus и SpyEye, однако его программный код был несколько проще, а для распространения использовались методы социальной инженерии. Так, перед началом атаки злоумышленники зарегистрировали домен "www.ceskaposta.net", который полностью дублировал адрес чешской почтовой компании, только находился в другой доменной зоне. Далее, чешским интернет-пользователям отправлялось поддельное сообщение электронной почты о необходимости подтвердить сведения для получения посылки с указанием ссылки на веб-сайт злоумышленников. При посещение веб-страницы, полностью повторяющей дизайн официального веб-сайта, происходило заражение операционной системы пользователя, а также выводилась просьба об установке мобильного приложения для платформ Symbian, Blackberry или Android, которое якобы отслеживало статус отправления. В двух этих случаях происходило заражение трояном Win32/Spy.Hesperbot. Как показало исследование зловреда, его код напоминает известный ранее и детектируемый антивирусными программами троян Win32/Agent.UXO. Основными функциями трояна Hesperbot являются: перехват сетевого трафика и HTML-инъекции; кейлоггер; создание скриншотов рабочего стола; захват видео; создание удаленного прокси-соединения; создание скрытого VNC-сервера. После инфицирования системы, троян перехватывал HTTP-трафик и внедрял в веб-страницы онлайн-банкинга вредоносный код, тем самым получая доступ к банковской информации пользователя. Вместе с тем, происходил анализ списка почтовых контактов пользователя, и по ним также отправлялось поддельное письмо. За эту работу отвечал специальный модуль под названием Win32/Spy.Agent.OEC. В ходе анализа путей распространения Hesperbot, были обнаружены предыдущие атаки на пользователей Турции, Португалии, Тайланда и Англии. В случае других стран злоумышленники использовали иные темы. Например, португальским пользователям сообщения направлялись от имени телекоммуникационного провайдера Portugal Telecom, а турецким – от имени провайдера TTNET. По мнению исследователей, Турция является родиной данного трояна, а в ходе первых атак проводилось тестирование и отладка его работы. Эксперты компьютерной безопасности рекомендуют использовать современные методы антивирусной защиты и внимательнее относиться к получаемой электронной корреспонденции.
Источник