Исследование Cisco Talos обнаружили в Бразилии новый троян
Новый троян под маской файла VMware похищает пользовательские данные у клиентов бразильских финансовых организаций. Специально разработанная под эту страну многоступенчатая кампания продолжает серию атак, которые обрушились на Бразилию с начала года. Зловред обнаружили и изучилиспециалисты Cisco Talos, исследующей угрозы информационной безопасности.
Троян распространяется через спам-рассылки, написанные на португальском языке. Зараженное вложение замаскировано под счет платежной системы Boleto. Это один из самых популярных методов оплаты в Бразилии, на который приходится 25% всех онлайн-транзакций. Исследователи из Cisco Talos отмечают, что направленный характер атаки во многом послужил ее успеху. Другим важным фактором стало использование Delphi для создания основного ядра — это нечастое явление в области банковских троянов, которое значительно усложняет обнаружение зловредного кода.
Чтобы получить троян на свой компьютер, адресат спама должен кликнуть по ссылке из email-вложения. Далее его проводят по целой цепочке редиректов — сначала на укороченный URL goo.gl, затем к архиву с JAR-файлом, который и устанавливает вредонос. Тот, в свою очередь, готовит рабочую среду для основного ПО, самостоятельно догружает и переименовывает дополнительные файлы с удаленного сервера.
На следующем этапе используется уязвимость, позволяющая обмануть многие антивирусные программы. Троян запускает файл от доверенного источника — VMware. Его подлинность подтверждена цифровой подписью, и антивирус автоматически разрешает файлу загрузить нужные библиотеки. Это и есть главная цель всей атаки. Одна из библиотек поражает explorer.exe или notepad.exe. Основной троянский модуль завершает работу процессов taskmgr.exe (диспетчер задач), msconfig.exe (настройка Windows), regedit.exe (редактирование реестра) и добавляет себя в список автозагрузки. Когда на рабочем столе открывается окно с названием одного из крупных бразильских банков, троян перехватывает пользовательский логин и пароль.
В последние месяцы Бразилия нередко попадает в новости благодаря атакам киберпреступников. Эксперты Palo Alto сообщают, что из всех троянов, обнаруженных в этой стране с конца 2013 года, более 20% приходится на период с января по июнь 2017 года. Атакам подвергаются банковские онлайн-платформы, POS-терминалы и банкоматы. В большинстве случаев преступники планируют проникновение в несколько этапов и усыпляют бдительность пользователей, используя популярные онлайн-сервисы: GoogleDrive, Dropbox или goo.gl — сервис для сокращения URL, как в последней истории. Главное правило безопасности остается прежним – не кликать по ссылкам в сомнительных письмах.