W wydanym komunikacie, Rada Bankowości Elektronicznej Związku Banków Polskich informuje, iż w ostatnim okresie nasiliły się przypadki oszustw, które dokonywane są przy użyciu przejętych przez przestępców skrzynek poczty elektronicznej dużych firm.

Oszuści po przełamaniu zabezpieczeń dostępu do poczty elektronicznej analizują jej zawartość w celu ustalenia kontrahentów danej firmy. Następnie preparują nową wiadomość, w której informują kontrahentów o nowym rachunku bankowym, na który należy przelać środki. Wiadomość jest wysyłana z przejętej skrzynki pocztowej i sprawia wrażenie, iż wysłał ją jej właściciel. Firmy, które otrzymały takie maile mogą nieświadomie przelać środki z kontraktów na rachunek bankowy wskazany i będący w dyspozycji przestępców.

Rada ostrzega też przed innym rodzajem ataku na klientów korzystających z bankowości internetowej. Atak jest przeprowadzany z wykorzystaniem trojana Banatrix i polega na przeszukiwaniu przez trojan pamięci procesów przeglądarek internetowych: Chrome, Internet Explorer, Firefox oraz Opera w celu znalezienia ciągu liczb, który odpowiada numerowi rachunku bankowego, a następnie zamianie go na inny numer rachunku podstawiony przez przestępców.

W efekcie, na stronach internetowych banków zostają zamienione wszystkie numery polskich rachunków bankowych. Osoba, która nie zauważy tej zmiany może przelać środki na inny rachunek bankowy wykorzystywany przez hakerów .

Jak działa trojan Banatrix

Cert Polska tak na swojej stronie opisuje działanie trojana: w ostatnich tygodniach otrzymywaliśmy sygnały od użytkowników o nowym rodzaju złośliwego oprogramowania, podobnym w działaniu do opisywanego przez nas wcześniej VBKlip. Tym razem jednak opisy były co najmniej nieprawdopodobne. Użytkownicy pisali do nas, że próbowali skopiować numer rachunku do strony z przelewem, ale numer im się zmieniał. Wtedy pomyśleli, że padli ofiarą VBKlip, więc jako tymczasowe rozwiązanie postanowili przepisać numer rachunku. Po przepisaniu jednak numer się zmienił, jak napisał jeden z użytkowników, “na ich oczach”. Brzmiało to podobnie do słynnej grafiki z filmu Matrix, gdzie kolejne cyfry, przelatują przed oczami widzów. Dzięki uprzejmości jednego ze zgłaszających udało nam się uzyskać próbkę tego złośliwego oprogramowania, które nazwaliśmy Banatrix, i zobaczyć na własne oczy jak zmieniają się cyfry wpisywanych numerów rachunków.

Otrzymana przez nas próbka instalowała się w systemie Windows jako zadanie okresowe. Oznacza to, że nie wykorzystywała “standardowego” klucza rejestru, tylko zapewniała sobie przeżywalność restartów w inny, mniej oczywisty sposób. Ścieżka, z której był uruchamiany proces, to wartość właściwości CommonAppDataFolder w systemie Windows (np. w przypadku systemu Windows XP jest to domyślnie C:\Documents and Settings\All Users\Application Data).

Oprócz tego próbka potrzebowała do działania, umieszczonego w tym samym katalogu, pliku .windows.sys, który jest zaszyfrowanym plikiem DLL. Ta biblioteka, ładowana podczas startu złośliwego oprogramowania, odpowiada za komunikację sieciową oraz całe właściwe działanie. W zasadzie główny plik złośliwego oprogramowania służy jedynie do załadowania tej biblioteki. Co więcej, za każdym razem kiedy plik jest odszyfrowywany, jest on również szyfrowany ponownie innym kluczem. Klucz ten jest zapisany w pliku. Zatem łatwe sprawdzanie po sumie kontrolnej nie da żadnego rezultatu.

więcej na:    http://www.cert.pl/news/8999

Zródło:     Rada Bankowości Elektronicznej ZBP

LS