Nowy koń trojański atakuje klientów mBanku oraz PKO

dodał 7 kwietnia 2015 o 16:01 w kategorii Złośniki  z tagami:
Nowy koń trojański atakuje klientów mBanku oraz PKO

Od kilku tygodni do skrzynek polskich internautów trafiają wiadomości udające korespondencję od biur rachunkowych, zawierające w załączniku ukryty plik wykonywalny. Plik ten to koń trojański, atakujący klientów bankowości elektronicznej.

Choć banki intensywnie walczą z przestępcami próbującymi okradać ich klientów, to złodzieje się nie poddają i rynek narzędzi wspierających ich wysiłki cały czas się rozwija.

Niewolnik atakuje

Dwa tygodnie temu hiszpańska firma S21sec opisała ciekawy przypadek konia trojańskiego, który jak na razie atakuje wyłącznie klientów polskich banków internetowych. Dzięki informacjom od naszych Czytelników możemy uzupełnić informacje Hiszpanów.

Hiszpanie odczytali pliki konfiguracyjne programu i ustalili, że w trakcie swojego działania na cudzym komputerze próbuje on wstrzykiwać zewnętrzny kod do stron internetowych co najmniej dwóch banków. Co ciekawe, konfiguracja jest przechowywana w formacie JSON, co oszczędza pracy analitykom wcześniej zmuszonym do konwertowania plików konfiguracyjnych charakterystycznych dla rodziny Zeusa do bardziej czytelnego formatu.

Hiszpanie próbowali ukryć nazwy banków, ale ich odgadnięcie nie było trudne. Tak wygląda konfiguracja:

Konfiguracja trojana

Konfiguracja trojana

Fragment adresu /ikd od razu pokazuje, że mamy do czynienia z serwisem iPKO. Pierwsze dwa wiersze zajmują chwilę dłużej ale wprawne oko znajdzie ślady po literce l oraz literce m, wskazujące na adres online.mbank.pl.

Program został ochrzczony nazwą Slave ze względu na fragment ścieżki, która została znaleziona w kodzie:

Tylko do 1 kwietnia

Ciekawy jest także fragment kodu, który nakazuje koniowi trojańskiemu przestać funkcjonować po 1 kwietnia tego roku. To raczej rzadko stosowany mechanizm, sugerujący, że być może do sieci wydostała się wersja testowa. Również serwer C&C ukrywający się pod adresem

albo nigdy nie działał, albo został bardzo szybko wyłączony uniemożliwiając pobranie treści wstrzykiwanych fragmentów stron bankowych.

Hiszpanie nie byli uprzejmi podzielić się publicznie próbkami, zatem spróbujemy nadrobić to niedopatrzenie. Pierwszy napotkany przez nas plik pochodzi z 17 marca 2015:

Faktura V_388_02_20_2015.doc.scr VT, malwr
MD5: 400fbcaaac9b50becbe91ea891c25d71
SHA256: b8ce8316b05205c61c5633323cbd96744a374986731fbb048b755cd3588d7e80

Inny wariant z 26 marca 2015:

VT, malwr, HA
MD5: c892c191a31f4a457ff1546811af7c09
SHA256: e5ce2b1a66c6272586cf341e8d9c32ee00f63207963d466d041de27ecdf59322

Jeszcze inny z 25 marca 2015:

VT, HA
MD5: 4f040c607d28c095f8bda258de4bd86f
SHA256: 6fa90c90b41abb4db8aaf7159d88aa1aa9bfa1a2a225850e554cac52ec9502c9

I prawdopodobnie również związany z analogiczną kampanią:

Faktura 20_02_2015.doc.scr VT, HA
MD5: d34de1b7584282ddb48fa97b1e3afd72
SHA256: ab5a1a9bf63e44731a7311031ba56ae5c1266ac83356616000f0a6c32a3d595f

Przykładowe treści wiadomości, w jakich przesyłane były złośliwe pliki:

Dzien dobry, w zwiazku z nasza rozmowa telefoniczna przesylam wspomniana faktura. Plik jest zabezpieczony haslem. Haslo do pliku to – faktura. Pozdrawiam glowna ksiegowa Irena Kowalska.

Drodzy Panstwo, w nawiazaniu do rozmowy telefonicznej z piatku, tj. 20/02, przesylam fakture VAT do rozliczenia.

Haslo do faktury to: faktura


Andrzej Twardowski
Mlodszy pracownik administracyjny

Ksiegi-Spolka Z.o.o.
ul. Rolanda 19
02-024 Warszawa

Sporo innych przykładów znajdziecie w tym wątku – skala prób oszustwa jest spora. W tym samym wątku znajduje się również krótka relacja poszkodowanego, któremu próbowano okraść konto w PKO, jednak bank zdążył zareagować i zablokować nieautoryzowaną transakcję. To miła wiadomość, choć nie zalecamy oczekiwania na reakcję banku jako strategii obrony przed tego rodzaju zagrożeniami.

Dziękujemy Marcinowi, Michałowi i Tomkowi za podesłane próbki.