Защити созданное

Другие наши ресурсы

Закрыть

Библиотека
Моя библиотека

Чтобы добавить ресурс в библиотеку, войдите в аккаунт.

+ Добавить в библиотеку

Ресурсов: -

Последний: -

Моя библиотека

Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

Форум | Бот самоподдержки Telegram

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32 | Skype Telegram

Свяжитесь с нами

Профиль

Профиль

Назад к списку новостей

Банковский троянец угрожает клиентам бразильских кредитных организаций

25 сентября 2018 года

Современные банковские троянцы применяют различные способы хищения денег с банковских счетов своих жертв – как высокотехнологичные, так и рассчитанные на невнимательность или доверчивость пользователя. Обнаруженный специалистами «Доктор Веб» банкер, о котором мы рассказываем в этой статье, угрожает пользователям бразильских систем дистанционного банковского обслуживания. На сегодняшний день выявлено более 300 уникальных образцов этого банкера, а также более 120 используемых им серверов, и его распространение продолжается.

Троянец, добавленный в вирусные базы Dr.Web под именем Trojan.PWS.Banker1.28321, распространяется под видом приложения Adobe Reader, предназначенного для просмотра документов в формате PDF. При запуске он демонстрирует окно с изображением названия этой программы.

Trojan.PWS.Banker1.28321 #drweb Trojan.PWS.Banker1.28321 #drweb

Вредоносная программа пытается определить, не запущена ли она в виртуальной среде, при обнаружении виртуальной машины она завершает свою работу. Также банкер отслеживает локальные языковые настройки Windows — если язык системы отличается от португальского, троянец не выполняет никаких действий.

Модуль загрузчика Trojan.PWS.Banker1.28321 реализован в виде сценария на языке VBscript, в то время как сам троянец написан на .NET. Скрипт-загрузчик запускается на выполнение с помощью стандартного COM-объекта MSScriptControl.ScriptControl. Он соединяется с управляющим сервером и скачивает с него два ZIP-архива, в одном из которых хранится обфусцированная динамическая библиотека, созданная с использованием среды разработки Delphi. В этой библиотеке и сосредоточены основные функции вредоносной программы.

Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций, Trojan.PWS.Banker1.28321 незаметно подменяет веб-страницу, показывая жертве поддельную форму для ввода логина и пароля, а в некоторых случаях — просит указать проверочный код авторизации из полученного от банка СМС-сообщения. Эту информацию троянец передает злоумышленникам.

Trojan.PWS.Banker1.28321 #drweb

Trojan.PWS.Banker1.28321 #drweb

Trojan.PWS.Banker1.28321 #drweb

Trojan.PWS.Banker1.28321 #drweb

Trojan.PWS.Banker1.28321 #drweb

Подобную схему с подменой содержимого просматриваемых пользователем веб-страниц систем «банк-клиент» используют многие банковские троянцы. Зачастую они угрожают клиентам кредитных организаций не только в Бразилии, но и по всему миру. За последний месяц специалисты «Доктор Веб» выявили более 340 уникальных образцов Trojan.PWS.Banker1.28321, а также обнаружили 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов, с которых троянец загружает содержащие вредоносную библиотеку архивы. Это свидетельствует о широком распространении банкера. Сведения обо всех известных на сегодняшний день образцах Trojan.PWS.Banker1.28321 добавлены в вирусные базы Dr.Web, а адреса используемых им серверов — в базы веб-антивируса SpIDer Gate, поэтому троянец не представляет угрозы для наших пользователей.

Подробнее о троянце

#банкер #банковский_троянец #троянец

Нам важно Ваше мнение

Комментарии размещаются после проверки модератором. За каждый содержательный комментарий начисляется 1 Dr.Web-ка. Чтобы задать вопрос по новости администрации сайта, укажите в начале своего комментария @admin. Если ваш вопрос к автору одного из комментариев — поставьте перед его именем @


Другие комментарии

Российский разработчик антивирусов Dr.Web

Опыт разработки с 1992 года

Dr.Web пользуются в 200+ странах мира

Dr.Web в Реестре Отечественного ПО

Поставка антивируса как услуги с 2007 года

Круглосуточная поддержка на русском языке

© «Доктор Веб»
2003 — 2018

«Доктор Веб» — российский производитель антивирусных средств защиты информации под маркой Dr.Web. Продукты Dr.Web разрабатываются с 1992 года.

125040, Россия, Москва, 3-я улица Ямского поля, вл.2, корп.12А