Банковский троян SpyEye научился видеть и слышать

26/05/2012 18:46

Эксперты «Лаборатории Касперского» опубликовали очередной отчет об активности банковского трояна SpyEye. Этот зловред представляет собой целый программный комплекс, включающий в себя генератор трояна на основе вредоносного ядра и несколько десятков дополнительных модулей. В процессе генерации могут быть заданы произвольные настройки функционирования, а также подключены дополнительные DLL-модули, существенно увеличивающие функциональность трояна. По наблюдению специалистов, последняя версия ядра 1.3.48 датируется осенью прошлого года. Однако это не говорит о том, что разработчики прекратили развитие SpyEye. В ходе анализа замеченных экземпляров SpyEye был обнаружен новый интересный модуль - "flashcamcontrol.dll". Этот модуль, при помощи подключенной к компьютеру веб-камеры, производит видеофиксацию всего происходящего в момент нахождения пользователя на конкретном веб-сайте. После активации модуля, выполняется настройка Flash Player, с целью разрешения записи видео и звука при посещение определенных веб-сайтов. Список веб-сайтов определяется злоумышленниками при генерации вредоносного кода, а также может быть изменен удаленно в ходе обновления трояна. В обнаруженных экземплярах SpyEye этими веб-сайтами оказались системы дистанционного банковского обслуживания немецких банков. При заходе на указанные веб-сайты, SpyEye производил внедрение Flash-объекта "camera.swf" с ссылкой, адрес которой соответствует открытому веб-сайту. Далее, к работе подключался модуль "webfakes.dll", выполняющий перезапись адреса в процессе формирования запроса, тем самым перенаправляя пользователя на веб-сайт злоумышленников, где производилась запись видео. По мнению экспертов «Лаборатории Касперского» такой функционал мог быть использован злоумышленниками для обхода системы авторизации по фотографии или голосу клиента. Однако, эту версию не подтвердили в подверженных атаке банках. Представители нескольких банков заявили, что такая система не используется и в ближайшее время её внедрение не планируется. На текущий момент, наилучшим применением этого функционала являются порно-сайты. В дальнейшем, полученный материал, включая информацию о пользователе инфицированной системы, мог быть использован для шантажа. Учитывая все выше сказанное, специалисты информационной безопасности рекомендуют посещать только культурные веб-сайты, где вести себя подобающим образом.
Источник