Специалистами ESET проанализирована кибератака, организованная с использованием банковского троянца Win32/Brolux.A.

Данная кампания ориентирована в основном на японских пользователей систем онлайн-банкинга. Для эффективного распространения Win32/Brolux.A киберзлодеями используются эксплойты из утекших в сеть данных Hacking Team для уязвимости Flash Player, а кроме того, для Unicorn Bug – браузерной уязвимости Internet Explorer, выявленной в конце минувшего года (CVE-2014-6332).

Данные эксплойты срабатывают, стоит пользователю зайти на сайт, наполненный «взрослым» контентом, после чего пытаются произвести установку исполняемого файла Win32/Brolux.A. Примерно такой же механизм распространения стоял и еще у одного троянца, чьей целью были японские пользователи – Win32/Aibatook.

Специализация Win32/Brolux.A - кража персональных пользовательских данных для онлайн-банкинга. Он способен скомпрометировать все наиболее популярные сейчас браузеры – Firefox, Internet Explorer и Google Chrome.

В коде полезной нагрузки вируса используется 2 конфигурационных файла: в первом содержится список из восьмидесяти восьми URL-адресов японских веб-сайтов удаленного банковского обслуживания, во втором – названия соответствующих браузерных окон. Когда интернет-пользователь входит на сайт, используя Internet Explorer, вредонесущая программа сразу же получает актуальный URL-адрес и проверяет его на предмет присутствия в заданном списке. При использовании Chrome и Firefox троянец сопоставляет оконный заголовок. И в том, и в другом случае при совпадении данных Win32/Brolux.A демонстрирует фишинговую страницу.

Такую страницу злоумышленники маскируют под веб-сайты прокуратуры, либо агентства по оказанию финансовых услуг. На ней присутствует официальное предупреждение для всех пользователей онлайновых банковских услуг, а кроме того, форма для ввода данных для входа в онлайн-банкинг и ответов на ряд секретных вопросом для входа в аккаунт.

Стоит отметить, этот банковский троян действует по схеме, которую можно назвать стандартной для такого типа вредонесущего ПО, и хорошо детектируется антивирусными решениями. Тем не менее, ESET напоминает пользователям о мерах предосторожности в процессе работы с онлайн-банкингом – следует своевременно обновлять ОС, отслеживать неожиданно всплывающие подозрительные окна и использовать эффективное антивирусное ПО.

Модуль под названием «Защита онлайн-платежей», входящий в состав комплексного решения ESET NOD32 Smart Security обеспечит полную безопасность производимых вами банковских операций.

источник: www.esetnod32.ru