Новий троянець обманює клієнтів банків

     Однією з найбільш небезпечних загроз інформаційній безпеці прийнято вважати банківських троянців, що представляють собою досить складні шкідливі програми з широкими функціональними можливостями.
Однак в своїх спробах обдурити клієнтів різних кредитних організацій зловмисники не гребують і тривіальнішими рішеннями - до таких належить троянська програма Trojan.Proxy2.102, досліджена фахівцями компанії «Доктор Веб».

 

     Trojan.Proxy2.102 призначений для крадіжки грошей з банківських рахунків і використовує для цього досить простий метод. Запускаючись на атакуючі пристрої, троянець встановлює в системі кореневої цифровий сертифікат і змінює настройки з'єднання з Інтернетом, прописуючи в них адресу, яка належить зловмисникам проксі-сервера.

 

     З цього моменту будь-які звернення браузера до веб-сторінок системи інтернет-банкінгу кількох провідних російських кредитних організацій здійснюються через проксі-сервер кіберзлочинців. З його допомогою в сторінки систем «банк-клієнт» при відкритті на інфікованому комп'ютері вбудовується сторонній вміст, що дозволяє зловмисникам красти гроші з банківських рахунків жертви. На даний момент встановлено, що Trojan.Proxy2.102 здатний підміняти вміст наступних банківських інтернет-ресурсів: online.sberbank.ru, online.vtb24.ru і online.rsb.ru. Оскільки троянець попередньо встановлює на зараженому комп'ютері підроблений цифровий сертифікат, з використанням якого підписує відповідні веб-сторінки, користувач навряд чи зможе вчасно помітити підміну.

 

     Після успішної установки троянець відправляє повідомлення про цю подію на керуючий сервер. Оскільки він ніяк не реєструє себе в автозавантаженні, після виконання своїх шкідливих дій троянець переходить в нескінченний сплячий режим.

 

     Антивірус Dr.Web успішно виявляє і видаляє шкідливу програму Trojan.Proxy2.102, тому вона не представляє небезпеки для наших користувачів.