Specjaliści z firmy antywirusowej Doctor Web ostrzegają przed najnowszą wersją złośliwego oprogramowania typu Trojan.PWS.Ibank, wykradającego hasła do logowania oraz inne poufne informacje. W zaktualizowanej postaci, Trojan.PWS.Ibank.752 stanowi zagrożenie nie tylko dla klientów bankowości elektronicznej, ale również dla posiadaczy aplikacji biznesowych typu SAP. Trojan.PWS.Ibank.752 należy do znanej rodziny trojanów bankowych.
umożliwiają one uzyskanie dostępu do wszystkich informacji wprowadzanych przez użytkownika, w szczególności do loginów i haseł. Poza narażeniem właścicieli zainfekowanych urządzeń na utratę pieniędzy czy wrażliwych danych, Trojan.PWS.Ibank.752 utrudnia również dostęp do witryn firm antywirusowych.
Do zakresu szkodliwych funkcji złośliwego oprogramowania typu Trojan.PWS.Ibank należy:
- kradzież haseł użytkowników,
- blokowanie dostępu do witryn firm antywirusowych,
- uruchomienie na zainfekowanym komputerze serwera proxy i serwera VNC,
- zniszczenie systemu operacyjnego lub obszarów dysku startowego.
Czym wyróżnia się Trojan.PWS.Ibank.752?
Z badania przeprowadzonego przez specjalistów z Doctor Web wynika, że w porównaniu z poprzednimi wersjami, nowy Trojan.PWS.Ibank.752 różni się zmodyfikowaną architekturą bota, mechanizmami komunikacji międzyprocesowej IPC i zniesionym podsystemem SOCKS5 (rodzaj protokołu pośredniczącego, wykorzystywanego w celu zabezpieczenia komunikacji). Równocześnie niezmieniony pozostał wykorzystywany przez trojana wewnętrzny mechanizm szyfrowania, rodzaj biblioteki dynamicznej, a także protokół komunikacji z serwerem zarządzającym cyberprzestępców.
Aby utrudnić wykrycie trojana, w czasie instalacji ma miejsce próba uruchomienia go w wirtualnej maszynie lub w środowisku „sandbox” – narzędziu pozwalającym na kontrolowanie pracy różnych programów. Korzystając z mechanizmów właściwych dla 32-bitowych i 64-bitowych dystrybucji Microsoft Windows, złośliwe oprogramowanie typu Trojan.PWS.Ibank.752 próbuje na różne sposoby przeniknąć do systemu operacyjnego. Główny moduł trojana umożliwia cyberprzestępcom realizację dwóch nowych komend: jedna z nich aktywuje lub deaktywuje blokadę klientów bankowości elektronicznej, druga pozwala otrzymać plik konfiguracyjny od serwera zarządzającego.
Trojan.PWS.Ibank.752 groźny dla użytkowników oprogramowania SAP
Trojan.PWS.Ibank potrafi integrować się z różnymi procesami, przy czym zaktualizowana wersja posiada dodatkową funkcjonalność, umożliwiającą sprawdzenie nazw działających rodzajów oprogramowania, m.in. klienta systemu SAP (zbioru aplikacji biznesowych automatyzujących zarządzanie przedsiębiorstwem).
Oprogramowanie to ma charakter modułowy i często jest związane z dostępem do poufnych, wrażliwych z biznesowego punktu widzenia, informacji, takich jak dane kadrowe lub księgowe. Pierwsza wersja trojana, czyli Trojan.PWS.Ibank.690, była rozprzestrzeniana w czerwcu. Umożliwiała ona sprawdzenie dostępności oprogramowania SAP w zainfekowanym systemie.
– Wzrost zainteresowania twórców złośliwego oprogramowania systemami typu SAP i ERP powinien zwrócić uwagę ekspertów ds. bezpieczeństwa. Przy użyciu podobnych technologii do tych wyżej opisanych, cyberprzestępcy mogą próbować wykraść informacje istotne dla przedsiębiorstw, przetwarzane właśnie w tych systemach. I choć do tej pory nie odnotowano żadnego destrukcyjnego działania zagrożeń typu Trojan.PWS.Ibank na systemy SAP, ich funkcjonalności powinny zwiększyć czujność administratorów sieci firmowych, aby na czas zapobiegli wyciekowi poufnych danych. – powiedział Piotr Tyborowski, Doradca ds. Wsparcia Technicznego Doctor Web.