Jste nějakým zákazníkem? Nový virus může špehovat bankovní účty zákazníků těchto portugalských bank

Kampaň kyberzločinu se pokouší infikovat počítače v Portugalsku prostřednictvím zjevně poškozených dokumentů. Po vstupu do zařízení škodlivý program čeká na přístup do banky, aby mohl ukrást přihlašovací údaje a ovládat relaci na dálku.

Podle , výzkumníci z Fortinetu varovali před novou kampaní, která využívá bankovního trojana Ousaban k útoku na uživatele finančních služeb v Portugalsku a Španělsku.

Hrozba, původně spojená s útoky v Brazílii, se vyvinula a začala používat sofistikovanější techniky, aby se zabránilo odhalení. Kampaň identifikovaná laboratoří FortiGuard ovlivňuje počítače s operačním systémem Windows a byla klasifikována jako vysoce závažná.

Zločinci mohou před stažením škodlivého souboru zkontrolovat umístění a další charakteristiky zařízení, čímž se sníží možnost odhalení vyšetřovateli nebo automatickými bezpečnostními systémy.

Pokus o podvod začíná přijetím phishingového e-mailu, který obsahuje soubor PDF. Při otevírání dokumentu je oběť informována, že soubor je poškozen, a je vyzvána ke stisknutí tlačítka se slovem „Aktualizovat“.

Toto tlačítko vede na podvodnou stránku, která se snaží napodobit legitimní portál pro daňové doklady nebo instalaci programu. Než budete pokračovat, webová stránka analyzuje data, jako je IP adresa, jazyk, časové pásmo a další informace o zařízení.

Pokud uživatel není v Portugalsku nebo Španělsku, útok je automaticky přerušen. Tato technika, známá jako geofencing, umožňuje zločincům skrýt kampaň před těmi, kteří nejsou součástí skupiny vybrané jako cíl.

Virus je skryt uvnitř obrázku

Když zařízení splní kritéria definovaná útočníky, stránka stáhne soubor skriptu, který spustí druhou fázi infekce.

Tento soubor stáhne zdánlivě neškodný obrázek, podobný ikoně PDF, ale obsahující skrytý soubor ZIP. Ke skrytí obsahu odpovědní používají techniku ​​zvanou steganografie.

Po extrahování a instalaci Ousaban program odstraní několik souborů použitých během procesu, což ztěžuje identifikaci zdroje infekce a provedení následné analýzy.

Trojan čeká, až oběť vstoupí do banky

Po instalaci zůstane Ousaban v počítači a čeká, až uživatel přistoupí ke službě online bankovnictví.

Fortinet identifikoval odkazy na více než dvě desítky finančních institucí na Pyrenejském poloostrově. Mezi cílové banky patří Caixa Geral de Depósitos, Millennium BCP, BPI, Novobanco, Santander, BBVA, CaixaBank a Banco Sabadell.

Když program zjistí, že oběť vstoupila na jednu ze sledovaných stránek, může zaznamenat stisknuté klávesy, zachytit snímky obrazovky, změnit zkopírovaný obsah a dát zločincům dálkovou kontrolu nad počítačem.

Zločinci mohou zobrazovat falešné bankovní stránky

Virus může také prezentovat falešná okna nad skutečnou službou online bankovnictví a oklamat uživatele, aby zadal hesla, bezpečnostní kódy nebo jiná důvěrná data.

Komunikace se servery kontrolovanými útočníky je šifrována. Kromě toho se používané adresy mohou denně měnit, což bezpečnostním nástrojům ztěžuje jejich blokování.

Kampaň však závisí na počáteční akci oběti. Odborníci doporučují neotevírat odkazy ani nestahovat soubory přijaté v neočekávaných zprávách, zvláště když dokument tvrdí, že je poškozený a vyžaduje aktualizaci.

Tento detail v PDF by měl vyvolat podezření

Uživatelé musí před zadáním bankovních údajů potvrdit adresu stránek a aktualizovat operační systém a antivirus.

PDF nevyžaduje aktualizaci pomocí tlačítka obsaženého v samotném dokumentu. Kdykoli se objeví zpráva tohoto typu, musí být soubor uzavřen a odesílatel potvrzen jiným způsobem.

Pokud existuje podezření na infekci, uživatel by neměl přistupovat k bankovnímu účtu z postiženého počítače. Musíte kontaktovat banku, změnit přihlašovací údaje na zabezpečeném zařízení a požádat o analýzu zařízení

Přečtěte si také: