Специалисты антивирусной компании ESET сообщили об анализе кибератаки
с использованием трояна Win32/Brolux.A. Сообщается, что данная атака
рассчитана на пользователей служб онлайн-банкинга из Японии. Для
распространения вредоносного приложения используются эксплойты для
уязвимости Flash Player (CVE-2015-5119), а также уязвимость браузера
Internet Explorer (CVE-2014-6332), обнаруженная в конце 2014 года.
Отмечается, что данные эксплойты начинают работать, если пользователь
зашёл на сайт порнографического содержания и устанавливает исполняемый
файл Win32/Brolux.A. Следует заметить, что подобный механизм
распространения был у трояна Win32/Aibatook, который также был нацелен
против японских пользователей.
Win32/Brolux.A передаёт злоумышленникам персональные данные пользователей онлайн-банкинга. Приложение запускается в браузерах Internet Explorer, Firefox и Google Chrome. Программа содержит два файла конфигурации — в первом файле содержится 88 адресов сайтов дистанционного банковского обслуживания, а во втором — названия этих ресурсов. При использовании Internet Explorer, троян получает открытый URL-адрес и сверяет его со списком. Если пользователь заходит на сайт с помощью Firefox или Chrome, программа сопоставляет заголовок окна. В случае совпадения вредоносное приложение показывает фишинговую страницу, замаскированную под сайты агентства финансовых услуг или прокуратуры. На странице размещается предупреждение для пользователей банковских услуг, форма для ввода данных онлайн-банкинга, а также ответы на секретные вопросы, необходимые для входа в учётную запись.
В целом же, Win32/Brolux.A действует по стандартной схеме для
вредоносных программ. Сейчас троян обнаруживается и устраняется
современными антивирусными продуктами. Специалисты ESET напоминают
соблюдать меры предосторожности при работе с системами онлайн-банкинга
— своевременно устанавливать обновления для операционной системы
Windows, использовать современное антивирусное программное обеспечение,
обновлять антивирусные базы, а также отслеживать появление
подозрительных окон.
Источник:
Win32/Brolux.A передаёт злоумышленникам персональные данные пользователей онлайн-банкинга. Приложение запускается в браузерах Internet Explorer, Firefox и Google Chrome. Программа содержит два файла конфигурации — в первом файле содержится 88 адресов сайтов дистанционного банковского обслуживания, а во втором — названия этих ресурсов. При использовании Internet Explorer, троян получает открытый URL-адрес и сверяет его со списком. Если пользователь заходит на сайт с помощью Firefox или Chrome, программа сопоставляет заголовок окна. В случае совпадения вредоносное приложение показывает фишинговую страницу, замаскированную под сайты агентства финансовых услуг или прокуратуры. На странице размещается предупреждение для пользователей банковских услуг, форма для ввода данных онлайн-банкинга, а также ответы на секретные вопросы, необходимые для входа в учётную запись.
Фишинговый сайт с размещённой формой Агентства финансовых услуг
Источник:
Комментариев нет:
Отправить комментарий