Исследователи из «Доктор Веб» обнаружили банковского троянца, который крадет учетные данные жертвы, направляя ее запросы через прокси-сервер, и подписывает модифицированные страницы поддельным сертификатом.

Как показал анализ, авторы Trojan.Proxy2.102 решили не усложнять код и предпочитают обманывать клиентов онлайн-банкинга более простыми методами. После запуска зловред устанавливает в системе корневой сертификат и, используя сценарий автоматической конфигурации, изменяет настройки соединения с Интернетом — прописывает в них адрес прокси-сервера, контролируемого злоумышленниками.

В итоге все заходы жертвы в системы онлайн-банкинга происходят через прокси-сервер, с помощью которого в страницы, открываемые в браузере, встраивается дополнительный контент. Чтобы жертва не заподозрила подмену, троянец подписывает эти ловушки поддельным сертификатом. Введенные в веб-формы данные зловред исправно собирает, шифрует RSA-ключом и отправляет на свой сервер.

В настоящее время Trojan.Proxy2, по свидетельству «Доктор Веб», нацелен на счета клиентов Сбербанка, ВТБ 24 и банка «Русский стандарт».

Распространяется данный банкер через спам-рассылки; с момента его появления защитные решения «Лаборатории Касперского» зафиксировали несколько тысяч писем с вредоносными вложениями (детектируются как Trojan.Win32.Agent).

Категории: Аналитика, Вредоносные программы, Главное