21:59 "Tatanga": новая угроза для онлайн-банкинга | |
Эксперты по безопасности из компании S21sec решили привлечь внимание общественности к новой угрозе, направленной на пользователей онлайн-банкинга. Обнаруженная вредоносная программа, получившая название "Tatanga", представляет собой образец вредоносного кода с комбинированным функционалом. Необходимо отметить очень важный момент: на момент обнаружения, новый вирус вызвал подозрения лишь у девяти защитных антивирусных решений из арсенала мультисканера VirusTotal. По имеющейся информации, троянский конь состоит из нескольких управляющих модулей, каждый из которых имеет своё назначение. Модули хранятся в зашифрованном, криптованном виде и расшифровываются по мере необходимости. Стиль проводимой атаки в общем то традиционен - "внедренный посредник", а точнее та его разновидность, которая направлена против Интернет-обозревателей (man-in-the-browser). На данный момент целью Tatanga являются пользователи из ряда западноевропейских стран; в частности, под угрозой находятся клиенты британских, немецких, испанских и португальских банков.
Для наглядности, исследователи перечислили в корпоративном блоге основные
конструктивные элементы нового троянского коня. Его разнообразные модули, которые входят в
его состав, обеспечивают следующее: - извлечение и сбор электронных адресов, Также аналитики обнаружили в пакете модификатор файлов, однако пока что не смогли определить его точное назначение. Компоненты "ModEmailGrabber" и "ModMalwareRemover" (сборщик адресов и
уничтожитель вирусов-конкурентов), по мнению
исследователей, могут являться частями более древнего бот-клиента,
датируемого 2008 годом. Интересно, что защитное решение от Microsoft
определило Tatanga как "Trojan:Win32/Mariofev.B", в то время как первый
представитель этого семейства - Mariofev.A - был внесен в базу данных
сигнатур как раз в октябре 2008. Троянский конь обменивается данными с удаленным сервером управления. Посредниками в этом процессе выступают семь веб-ресурсов, адреса которых
указаны непосредственно в теле вредоносной программы. Информация
передается по зашифрованному каналу, однако криптозащита не особенно
сильна. Из вышесказанного, можно сделать вывод, что Tatanga умеет внедрять HTML-код в страницы,
отображаемые в любом обозревателе: список поддерживаемых браузеров
включает Internet Explorer, Firefox, Chrome, Opera, Minefield, Maxthoon,
Netscape, Safari и даже Konqueror. В числе других особенностей,
заслуживающих упоминания, можно назвать поддержку 64-битных выпусков
Windows, защиту от запуска в виртуальной среде, использование
возможностей мобильного фишинга и обход контуров безопасности,
устанавливаемых плагином Trusteer Rapport.
| |
|
| |
| Всего комментариев: 0 | |