Trzeba być ostrożnym przy używaniu akcji „kopiuj” i „wklej” w bankowości elektronicznej. Złośliwe oprogramowanie podmienia w schowku Windows numer skopiowanego konta bankowego i zastępuje go numerem złodzieja. Malware był zdecydowanie skierowany do polskich użytkowników – ostrzegają eksperci z CERT Polska.
Jego działanie opiera się na podmienianiu numeru konta na numer konta kontrolowany przez cyberprzestępców. Podmiana ta następowała jeśli jakikolwiek numer konta został skopiowany do schowka systemu Windows.
Na początku października CERT Polska otrzymał informację o nowym rodzaju zagrożenia dla polskich użytkowników bankowości elektronicznej. Komputer został zainfekowany za pomocą wiadomości e-mail, do której załączone było archiwum zip, w którym znajdował się plik .scr (wygaszacz systemu Windows). Użytkownik rozpakował archiwum myśląc, że w środku znajdują się pliki przeznaczone dla niego. Jest to typowy atak phishingowy. Plik wygaszacza ekranu miał ikonę oraz nazwę, która sprawiała, że użytkownik mógł uznać go za plik PDF. Następnie malware tworzy pliki, które są podobne do znanych plików systemu Windows.
W celu zapewnienia uruchomienia przy starcie systemu, dodaje się on do klucza rejestru: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Dodatkowo, ukrywa swoją obecność przejmując wywołanie niektórych funkcji WinAPI. Dzięki temu, mimo obecności wpisu w rejestrze ciężko jest odnaleźć plik na dysku, gdyż nie jest widoczny nawet po włączeniu opcji pokazywania plików ukrytych i systemowych.
Malware, po stworzeniu wcześniej wymienionych plików, uruchamia wszystkie te komponenty. Każdy z nich jest stworzony w innym celu. Powyżej znajduje się schemat procesów uruchamianych przez to złośliwe oprogramowanie. Elementem, który komunikuje się z serwerem C&C jest taskmgr.exe. Komunikacja odbywa się na dwa sposoby – za pomocą protokołu SMTP (!!!), wysyłając e-mail korzystając z danych logowania zawartych w kodzie oprogramowania. E-mail zawiera dane dotyczące komputera (system operacyjny, nazwa użytkownika etc.). Dzięki temu cyberprzestępcy są w stanie śledzić infekcję. Oprócz tego wysyłane jest żądanie HTTP do strony, która generuje statystyki odwiedzin.
Za każdym razem kiedy użytkownik skopiuje 26 cyfrowy numer do schowka (albo jako jedna liczba, albo w formacie xx xxxx xxxx xxxx xxxx xxxx xxxx) jest on podmieniany na inny, zapisany w oprogramowaniu numer, zachowując format, który został użyty przez użytkownika. Dzieje się to również wtedy, kiedy numer rachunku jest umieszczony w tekście skopiowanym do środka. Przykład obrazujący to zachowanie można zobaczyć na filmie poniżej.
Oznacza to, że za każdym razem kiedy kopiujemy jakikolwiek numer rachunku do schowka, może się to zdarzyć na przykład przy kopiowaniu numeru rachunku:
- z faktury, którą chcemy zapłacić,
- ze strony internetowej aukcji, gdy chcemy zapłacić za nią przelewem,
- z wiadomości e-mail zawierającej numer rachunku, na który mamy dokonać wpłaty,
,/li> - z komunikatora internetowego, gdy koleżanka bądź kolega wysyła nam swój numer konto do dokonania przelewu.
„Pomimo swojej prostoty jest to bardzo efektywny sposób oszukania użytkowników. Dlatego tak istotne jest sprawdzenie numeru rachunku na stronie, na której potwierdzamy wykonanie przelewu. CERT Polska był w stanie ustalić, iż zostało zainfekowanych ponad 3000 użytkowników. Malware był zdecydowanie skierowany do polskich użytkowników – numer konta bankowego, używanego do kradzieży środków, był w jednym z polskich banków – informują przedstawiciele CERT Polska.
źródło: CERT Polska
Kan
No niestety kiedys mialem taka sytuacje, dobrze ze byla to drobna suma. Teraz za kazdym razem sprzwdzam nr konta przy jego kopiowaniu.
Tylko ze ja to mialem jakies 2 lata temu
A co na to bank ? Przecież konto tez powinno byc jakoś zabezpieczone aby złodziej nie podmieniał przy transakcji na swoje oszukańcze konto.