Jak donosi CERT Polska, w sieci pojawiła się nowa, niebezpieczna wersja konia trojańskiego podmieniającego zawartość schowka systemu operacyjnego. Program czeka, aż użytkownik skopiuje do schowka numer rachunku, na który chce wysłać przelew, a następnie podmienia go na numer zaszyty w aplikacji. Różni się jednak znacząco od swojego poprzednika, którego opisywaliśmy kilka miesięcy temu.
Nowa wersja posiada bardzo ograniczoną funkcjonalność. Nie dokonuje żadnych zmian w rejestrze ani nie wysyła żadnego ruchu sieciowego, przez co jest trudna do wykrycia. W momencie odkrycia żaden z trzech wariantów konia trojańskiego nie był też rozpoznawany przez oprogramowanie antywirusowe i mimo, iż od ich pierwszego podesłania do serwisu VirusTotal minęły już 2 tygodnie, pliki dalej przez większość antywirusów uznawane są za nieszkodliwe. Plusem jest jedynie to, że program nie przeżywa restartu komputera – zatem warto od czasu do czasu jednak komputer zamykać i uruchamiać ponownie.
Złośliwe oprogramowanie kryje się pod ikoną aktualizacji Adobe Flash Player i prawdopodobnie tak jak wcześniejsze wersje jest „ręcznie” rozsyłane przez atakujących. Aby uniknąć zostania ofiarą ataku należy nie uruchamiać programów pochodzących z nieznanych źródeł oraz sprawdzać numer konta przez wykonaniem przelewu.
Słyszeliśmy także, że niektóre banki wprowadzają już zabezpieczenia przed podobnymi atakami. Jeden z banków przechwytuje naciśnięcie klawiszy CTRL+V na swojej stronie i ostrzega użytkowników przed zagrożeniem, a inny po wklejeniu pełnego numeru konta usuwa jego ostatnie 4 cyfry i prosi o wpisanie ich ręcznie. Dajcie znać, jeśli traficie na inne przykłady.
Komentarze
Co za debil używa Timer’a co sekundę, skoro można po prostu wykryć zmianę zawartości schowka
Nie debil, tylko używa najprostszego dostępnego rozwiązania. Jakość do d., ale działa – i o to chodzi. Nikt nie spodziewał sie wykonania na wysoki połysk ani obsługi technicznej 24/7. Ktoś to wyklikał w 5 minut i właśnie trzepie kasę.