Троян создает на системе прокси-сервер, который перехватывает трафик между клиентом и системой ДБО.
Производитель антивирусов компания «Доктор Веб» сообщила о том, что в интернете был обнаружен новый банковский троян, который создает на системе жертвы прокси-сервер для перехвата информации, передаваемой при работе с системами дистанционного банковского обслуживания (ДБО) российских банков.
«Запустившись на компьютере жертвы, троянец изменяет параметры сетевого соединения, прописывая в них ссылку на сценарий автоматической настройки. По этой ссылке на инфицированный компьютер загружается файл, с использованием которого соединение зараженного ПК с Интернетом осуществляется через принадлежащий злоумышленникам прокси-сервер. Прокси-сервер, в свою очередь, перенаправляет жертву на поддельную страницу системы «Банк-Клиент», содержащую форму для ввода логина и пароля», - говорится в уведомлении «Доктор Веб».
Ввиду того, что системы ДБО в основном используют зашифрованный протокол передачи данных HTTPS, для маскировки троян устанавливает на систему самоподписный цифровой сертификат. Благодаря этому отображаемая в браузере жертвы страница системы «Банк-Клиент» имеет не только схожий с настоящим URL, но и само соединение осуществляется по протоколу HTTPS.
Эксперты отмечают, что даже после полного удаления с системы Trojan.Proxy.23968 в настройках браузера остаются внесенные вредоносной программой изменения. Таким образом, пользователь может стать жертвой банковских мошенников даже в том случае, если система была полностью очищена от вирусов.
С уведомлением «Доктор Веб» можно ознакомиться здесь.
Источник: securitylab.ru.
|