Na początku października specjaliści CERT Polska otrzymali informację o nowym rodzaju zagrożenia dla polskich użytkowników bankowości elektronicznej. Uzyskano próbkę złośliwego oprogramowania, napisanego w Visual Basic 6, którego mechanizm działania był nadzwyczaj prosty jak na zagrożenia tego typu.
Działanie złośliwego oprogramowania opierało się na podmienianiu numeru konta na numer konta kontrolowany przez cyberprzestępców. Podmiana ta następowała jeśli jakikolwiek numer konta został skopiowany do schowka systemu Windows.
Szczegóły techniczne
Komputer został zainfekowany za pomocą wiadomości e-mail, do której załączone było archiwum zip, w którym znajdował się plik .scr (wygaszacz systemu Windows). Użytkownik rozpakował archiwum myśląc, że w środku znajdują się pliki przeznaczone dla niego. Jest to typowy atak phishingowy. Plik wygaszacza ekranu miał ikonę oraz nazwę, która sprawiała, że użytkownik mógł uznać go za plik PDF. Następnie malware tworzy pliki, które są podobne do znanych plików systemu Windows (na ilustracji poniżej).
W celu zapewnienia uruchomienia przy starcie systemu, dodaje się on do klucza rejestru: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. Dodatkowo, ukrywa swoją obecność przejmując wywołanie niektórych funkcji WinAPI. Dzięki temu, mimo obecności wpisu w rejestrze, ciężko jest odnaleźć plik na dysku, gdyż nie jest widoczny nawet po włączeniu opcji pokazywania plików ukrytych i systemowych.
Schemat działania
Malware, po stworzeniu wcześniej wymienionych plików, uruchamia wszystkie te komponenty. Każdy z nich jest stworzony w innym celu. Powyżej znajduje się schemat procesów uruchamianych przez to złośliwe oprogramowanie. Elementem, który komunikuje się z serwerem C&C jest taskmgr.exe. Komunikacja odbywa się na dwa sposoby – za pomocą protokołu SMTP (!!!), wysyłając e-mail korzystając z danych logowania zawartych w kodzie oprogramowania. E-mail zawiera dane dotyczące komputera (system operacyjny, nazwa użytkownika etc.). Dzięki temu cyberprzestępcy są w stanie śledzić infekcję. Oprócz tego wysyłane jest żądanie HTTP do strony, która generuje statystyki odwiedzin.
Za każdym razem kiedy użytkownik skopiuje 26 cyfrowy numer do schowka (albo jako jedna liczba, albo w formacie xx xxxx xxxx xxxx xxxx xxxx xxxx) jest on podmieniany na inny, zapisany w oprogramowaniu numer, zachowując format, który został użyty przez użytkownika. Dzieje się to również wtedy, kiedy numer rachunku jest umieszczony w tekście skopiowanym do środka. Przykład obrazujący to zachowanie można zobaczyć na filmie poniżej.
Oznacza to, że za każdym razem kiedy kopiujemy jakikolwiek numer rachunku do schowka, może się to zdarzyć. Na przykład przy kopiowaniu numeru rachunku:
• z faktury, którą chcemy zapłacić,
• ze strony internetowej aukcji, gdy chcemy zapłacić za nią przelewem,
• z wiadomości e-mail zawierającej numer rachunku, na który mamy dokonać wpłaty,
• z komunikatora internetowego, gdy koleżanka bądź kolega wysyła nam swój numer konto do dokonania przelewu.
Podsumowanie
Pomimo swojej prostoty jest to bardzo efektywny sposób oszukania użytkowników. Dlatego tak istotne jest sprawdzenie numeru rachunku na stronie, na której potwierdzamy wykonanie przelewu. CERT Polska był w stanie ustalić, iż zostało zainfekowanych ponad 3000 użytkowników. Malware był zdecydowanie skierowany do polskich użytkowników – numer konta bankowego, używanego do kradzieży środków, był w jednym z polskich banków.
Źródło: CERT Polska