środa, 13 maja 2015

Metody socjotechniczne w bankowości internetowej

Od dwóch dni obserwujemy dużą aktywność złośliwego oprogramowania (powiadomienia z DHL), które zawiera w swoich plikach konfiguracyjnych kilka banków z Polski. Są to:
  • *citibankonline.pl*
  • *online.ingbank.pl
  • *aliorbank.pl/
  • *ebgz.pl/detal-web/jbank/*
  • *online.mbank.pl*
  • *www.ipko.pl/nowe*
Jest to malware typu "webinject". Złośliwy kod javascript „doklejany” jest do stron bankowości internetowej po zalogowaniu użytkownika. Niektóre skrypty są w całości doklejane a niektóre pobierane z wielu serwerów za pomocą https. Mogą się również pojawiać komunikaty w dodatkowych oknach.

Oto komunikaty, które będą się pojawiały zainfekowanym klientom bankowości.

Treść komunikatu numer 1:


Treść komunikatu numer 2:


Treść komunikatu numer 3:


Powiązane komunikaty:



Treść komunikatu numer 4 (Zarezerwowany jak na razie dla jednego banku):


Ja łatwo zauważyć tłumaczenie na język polski nie jest najlepsze.

Jest to malware wykrywany przez systemy AV jako EMOTET. O tym jak odkodować plik konfiguracyjny tego malware pisaliśmy tutaj.

Jak znaleźć i usunąć z dysku złośliwy kod?

Plik wykonywalny:
c:\users\<username>\AppData\Local\1a7c93b1b3afe745137ad900a554236d.exe

Autostart z klucza RUN:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run -> 1a7c93b1b3afe745137ad900a554236d.exe


Brak komentarzy:

Publikowanie komentarza