Menu

Банківський троян в процесі атаки використовував сервер уряду

Експерти міжнародної антивірусної компанії ESET виявили банківський троян, націлений на користувачів Бразилії. Особливістю даної загрози стало використання в процесі кібератаки уразливості урядового поштового сервера.

Банковский троян в процессе атаки использовал сервер правительства

Для викрадення конфіденційної інформації загроза встановлювала спеціальне розширення для браузера Google Chrome. Це розширення дозволяла зловмисникам перехоплювати аутентифікаційні дані, необхідні для входу в систему інтернет-банкінгу. Варто зазначити, що в Бразилії кіберзлочинці досить часто використовують банківське шкідливе ПО, отримуючи при цьому значний прибуток.

Загроза поширювалася через спеціальну спам-кампанію. Головною ланкою в такій схемі є дроппер, який відповідає за установку необхідних динамічних DLL-бібліотек і JavaScript-об'єктів на скомпрометованому комп'ютері.

Після установки Google Chrome спеціального розширення, воно починало моніторити всі відвідувані користувачем сайти, прагнучи відстежити веб-ресурси бразильських фінансових установ. Як тільки користувач входив до обліковий запис на одному з таких ресурсів, його аутентифікаційні дані моментально відправлялися на сервер зловмисників. Для відправки був обраний незвичайний спосіб - кіберзлочинці використовували вразливість в конфігурації одного з серверів, що належать бразильському уряду.

Уразливість в налаштуваннях сервера дозволила хакерам використовувати обліковий запис gov.br електронної пошти для перенаправлення з нього листів на два різних аккаунта e-mail, що належали одному з найбільш часто використовуваних поштових сервісів.

Через акаунт gov.br даний плагін відправляв зловмисникам два листи: перше сигналізувало про новий зараженні, а друге повідомляло про авторизацію користувача в системі онлайн-банкінгу. Шкідливі скрипти містили цілий список різних банківських доменів, і, у разі відвідування користувачем одного з них, необхідні для аутентифікації дані зберігалися та відправлялися на електронну адресу зловмисників.

Завдяки спільній роботі експертів ESET і правоохоронних органів Бразилії, брали участь у кібератаці облікові записи електронної пошти були блоковані, а вразливість сервера, яка використовувалася зловмисниками для отримання аккаунта gov.br, була закрита.

|