7 сентября 2012 года
Компания «Доктор Веб» — российский разработчик
средств информационной безопасности — предупреждает пользователей о
распространении нового троянца, представляющего опасность для
пользователей систем дистанционного банковского обслуживания
(интернет-банкинга) в России. Троянец изменяет настройки
браузеров жертвы таким образом, что в процессе работы с системой
«Банк-Клиент» пользовательский трафик направляется через принадлежащий
злоумышленникам сервер, что позволяет им воровать важные данные.
Вредоносная программа Trojan.Proxy.23968, образцы которой также добавлялись в вирусные базы Dr.Web под именем Trojan.Carberp.450
в конце августа 2012 года, создана злоумышленниками для установки в
инфицированной системе прокси-сервера с целью перехвата конфиденциальной
информации при работе с системами дистанционного банковского
обслуживания нескольких российских банков.
Запустившись на компьютере жертвы, троянец изменяет параметры
сетевого соединения, прописывая в них ссылку на сценарий автоматической
настройки. По этой ссылке на инфицированный компьютер загружается файл, с
использованием которого соединение зараженного ПК с Интернетом
осуществляется через принадлежащий злоумышленникам прокси-сервер.
Прокси-сервер, в свою очередь, перенаправляет жертву на поддельную
страницу системы «Банк-Клиент», содержащую форму для ввода логина и
пароля.
Система «Банк-Клиент» российского банка, который первым подвергся
атаке, использует при соединении с пользователем защищенный протокол
HTTPS. В целях маскировки сеанса связи с поддельным банковским сервером
новый троянец устанавливает в систему самоподписанный цифровой
сертификат. Таким образом, страница системы «Банк-Клиент», которую
открывает в своем браузере жертва троянца, имеет похожий на оригинальный
URL, идентичное с ним оформление, а само соединение осуществляется по
зашифрованному протоколу HTTPS. В последнее время специалистами компании
«Доктор Веб» были зафиксированы факты установки троянцем новых цифровых
сертификатов, а в качестве целей для атак выявлено еще несколько
банковских систем.
Примечательным фактом является то, что даже после полного удаления Trojan.Proxy.23968
из системы в настройках браузеров остаются внесенные троянцем
изменения, поэтому пользователь может стать жертвой злоумышленников даже
в том случае, если сам троянец был уничтожен антивирусным ПО. Если вы
стали жертвой Trojan.Proxy.23968,
специалисты компании «Доктор Веб» рекомендуют провести полную проверку
компьютера с использованием лечащей утилиты Dr.Web CureIt!, в которой
предусмотрен механизм лечения последствий заражения, а также вручную
проверить настройки используемых вами браузеров.