Банковские троянцы зарекомендовали себя как надежный и эффективный инструмент для кибератак, нацеленных на скрытное хищение крупных денежных средств. ZeuS, Carberp и многие другие банкеры исправно обогащают своих создателей и тех, кто ими пользуется. В настоящее время эксперты изучают нового зловреда, способного обходить SSL-защиту сеансов связи с системами онлайн-банкинга посредством перенаправления трафика на подставные домены.

Троянец, которого исследователи именуют Dyre или Dyreza, использует технику, известную как browser hooking (перехват запросов браузера), для перехвата трафика, которым компьютер жертвы обменивается с целевым веб-сайтом. Dyreza способен перехватывать сеансы в Google Chrome, Mozilla Firefox и Internet Explorer. Данный зловред доставляется на машину через спам, зачастую имитирующий сообщения финансовых организаций. Список мишеней Dyreza включает, в частности, Bank of America, Natwest, Citibank, RBS и Ulsterbank. На настоящий момент эксперты фиксируют повышенное внимание новичка к британским финансовым институтам.

При открытии вредоносного zip-вложения Dyreza устанавливается в систему и подключается к C&C-серверу. Эксперты датской ИБ-компании CSIS получили доступ к двум таким серверам и на одном из них обнаружили встроенную панель управления для «дропов», связанную с несколькими латышскими аккаунтами. Основным назначением нового троянца ожидаемо оказалась кража идентификаторов к системам онлайн-банкинга и прочим финансовым сайтам.

Банковские троянцы решают эту задачу разными способами; создатели Dyreza используют перехват обращений браузера, что помогает им обойти SSL-защиту. «Когда вы просматриваете Интернет через браузер, атакующие контролируют этот трафик, — поясняет Петер Крусе (Peter Kruse), исследователь из CSIS. — Они используют технику MitM (Man-in-the-Middle) и в результате получают возможность просматривать что угодно, даже SSL-трафик, в открытом виде. Таким же образом они могут попытаться обойти двухфакторную защиту».

Когда пользователь заходит на целевой финансовый сайт и пытается зарегистрироваться, зловред перехватывает его данные и отсылает своим хозяевам. Визуально такой перехват, как и перенаправление трафика на подставной домен, а также отсутствие шифрования никак не прослеживаются. «В этом-то вся штука, все это должно шифроваться и никогда не передаваться открытым текстом, — комментирует Ронни Токазовский (Ronnie Tokazowski) из компании PhishMe, которая тоже подвергла новый банкер анализу и именует его Dyre. — Подобная уловка позволяет атакующим создать для вас видимость присутствия на нужном сайте и работы по HTTPS-протоколу. На самом же деле ваш трафик перенаправлен на страницу злоумышленников».

«Чтобы получить искомый эффект от перенаправления трафика, атакующие должны иметь возможность просматривать его до шифрования, — поясняет технику атаки Токазовский. — В данном случае это достигается способом, известным как browser hooking. При этом DNS-обращений к принадлежащему Bank of America домену c1sh не производится, и это наводит на мысль, что атакующие просто добавили данное имя в поле Host: заголовка запросов».

Категории: Вредоносные программы, Главное