Metody socjotechniczne w bankowości internetowej

Od dwóch dni obserwujemy dużą aktywność złośliwego oprogramowania (powiadomienia z DHL), które zawiera w swoich plikach konfiguracyjnych kilka banków z Polski. Są to:

• *citibankonline.pl*
• *online.ingbank.pl
• *aliorbank.pl/
• *ebgz.pl/detal-web/jbank/*
• *online.mbank.pl*
• *www.ipko.pl/nowe*

Jest to malware typu "webinject". Złośliwy kod javascript „doklejany” jest do stron bankowości internetowej po zalogowaniu użytkownika. Niektóre skrypty są w całości doklejane a niektóre pobierane z wielu serwerów za pomocą https. Mogą się również pojawiać komunikaty w dodatkowych oknach.

Oto komunikaty, które będą się pojawiały zainfekowanym klientom bankowości.

Treść komunikatu numer 1:

Treść komunikatu numer 2:

Treść komunikatu numer 3:

Powiązane komunikaty:

Treść komunikatu numer 4 (Zarezerwowany jak na razie dla jednego banku):

Ja łatwo zauważyć tłumaczenie na język polski nie jest najlepsze.

Jest to malware wykrywany przez systemy AV jako EMOTET. O tym jak odkodować plik konfiguracyjny tego malware pisaliśmy tutaj.

Jak znaleźć i usunąć z dysku złośliwy kod?

Plik wykonywalny:

c:\users\<username>\AppData\Local\1a7c93b1b3afe745137ad900a554236d.exe

Autostart z klucza RUN:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run -> 1a7c93b1b3afe745137ad900a554236d.exe