Экспертам «Лаборатории Касперского» удалось обнаружить целевое использование банковского трояна Trojan-Banker.Win32.Capper, направленного лишь на одну систему онлайн-банкинга — «PSB-Retail» Промсвязьбанка. Обнаруженный зловред предназначен для подмены оригинального веб-интерфейса системы дистанционного банковского обслуживания (ДБО) на поддельный, с целью компрометации реквизитов доступа и дальнейшего их использования для кражи денег со счетов клиентов банка. Для своего распространения троян использует веб-сайты с системами эксплоитов, внедрения кода которых происходит через рекламные объявления на тематических веб-ресурсах. После успешного запуска, троян Capper, в первую очередь, прописывает специальный URL в пункт настроек соединения с интернетом («Использовать скрипт автоматической настройки»), указывающий на PAC-файл (Trojan-Banker.JS.Proxy.ap), размещаемый на веб-сайте злоумышленников. После установки этой опции все запросы на "retail.payment.ru" начинают проходить через прокси-сервер злоумышленников. Это дает злоумышленникам возможность направить пользователя на созданную ими поддельную страницу входа в систему онлайн-банкинга Промсвязьбанка. Ранее похожая техника уже использовалась в отношение нескольких бразильских банков. Однако использования PAC-файла в данном случае оказалось недостаточно. Интернет-банкинг «PSB-Retail» Промсвязьбанка по умолчанию работает через защищенное HTTPS-соединение. Злоумышленникам пришлось принять меры, дабы не вызывать подозрений у пользователя. Они сформировали цифровой сертификат, который устанавливается в список доверительных корневых центров сертификации, так, трафик от пользователя шифруется установленным открытым ключом, а на сервере злоумышленников расшифровывается имеющимся у них закрытым ключом. Пользователь не замечает подмены, если не захочет получить более подробную информацию об используемом сертификате. Кроме того, поддельный адрес сайта имеет отличную от оригинальной структуру, а на самом веб-сайте изменен номер телефона поддержки. Еще одна особенность этого зловреда заключается в том, что после первого запуска его присутствие в системе необязательно и он удаляет себя, оставляя сделанные настройки. Таким образом, даже если впоследствии сигнатуры этого трояна попадут в антивирусные базы, обнаруживать и удалять будет некого. Однако, сетевые средства обнаружения могут зафиксировать вредоносный PAC-файл и сообщить об этом пользователю. Всем пользователям, а особенно клиентам Промсвязьбанка, рекомендуется проверить конфигурацию интернет-соединения на наличие вышеупомянутой настройки. Также перед использованием интернет-банкинга следует ознакомиться с рекомендациями самого банка по безопасности.
Источник