07.04.2015 | 16:01

Adam Haertle

Nowy koń trojański atakuje klientów mBanku oraz PKO

Od kilku tygodni do skrzynek polskich internautów trafiają wiadomości udające korespondencję od biur rachunkowych, zawierające w załączniku ukryty plik wykonywalny. Plik ten to koń trojański, atakujący klientów bankowości elektronicznej.

Choć banki intensywnie walczą z przestępcami próbującymi okradać ich klientów, to złodzieje się nie poddają i rynek narzędzi wspierających ich wysiłki cały czas się rozwija.

Niewolnik atakuje

Dwa tygodnie temu hiszpańska firma S21sec opisała ciekawy przypadek konia trojańskiego, który jak na razie atakuje wyłącznie klientów polskich banków internetowych. Dzięki informacjom od naszych Czytelników możemy uzupełnić informacje Hiszpanów.

Hiszpanie odczytali pliki konfiguracyjne programu i ustalili, że w trakcie swojego działania na cudzym komputerze próbuje on wstrzykiwać zewnętrzny kod do stron internetowych co najmniej dwóch banków. Co ciekawe, konfiguracja jest przechowywana w formacie JSON, co oszczędza pracy analitykom wcześniej zmuszonym do konwertowania plików konfiguracyjnych charakterystycznych dla rodziny Zeusa do bardziej czytelnego formatu.

Hiszpanie próbowali ukryć nazwy banków, ale ich odgadnięcie nie było trudne. Tak wygląda konfiguracja:

Konfiguracja trojana

Konfiguracja trojana

Fragment adresu /ikd od razu pokazuje, że mamy do czynienia z serwisem iPKO. Pierwsze dwa wiersze zajmują chwilę dłużej ale wprawne oko znajdzie ślady po literce l oraz literce m, wskazujące na adres online.mbank.pl.

Program został ochrzczony nazwą Slave ze względu na fragment ścieżki, która została znaleziona w kodzie:

c:\b\build\slave\win\build\src\third_party\boringssl\src\ssl\ssl_lib.c

Tylko do 1 kwietnia

Ciekawy jest także fragment kodu, który nakazuje koniowi trojańskiemu przestać funkcjonować po 1 kwietnia tego roku. To raczej rzadko stosowany mechanizm, sugerujący, że być może do sieci wydostała się wersja testowa. Również serwer C&C ukrywający się pod adresem

www.bizzanalytics.com/info.php?key=hQEMAwWjOozTqt1iAQgAjYKm8wz7gq5

albo nigdy nie działał, albo został bardzo szybko wyłączony uniemożliwiając pobranie treści wstrzykiwanych fragmentów stron bankowych.

Hiszpanie nie byli uprzejmi podzielić się publicznie próbkami, zatem spróbujemy nadrobić to niedopatrzenie. Pierwszy napotkany przez nas plik pochodzi z 17 marca 2015:

Faktura V_388_02_20_2015.doc.scr VT, malwr
MD5: 400fbcaaac9b50becbe91ea891c25d71
SHA256: b8ce8316b05205c61c5633323cbd96744a374986731fbb048b755cd3588d7e80

Inny wariant z 26 marca 2015:

VT, malwr, HA
MD5: c892c191a31f4a457ff1546811af7c09
SHA256: e5ce2b1a66c6272586cf341e8d9c32ee00f63207963d466d041de27ecdf59322

Jeszcze inny z 25 marca 2015:

VT, HA
MD5: 4f040c607d28c095f8bda258de4bd86f
SHA256: 6fa90c90b41abb4db8aaf7159d88aa1aa9bfa1a2a225850e554cac52ec9502c9

I prawdopodobnie również związany z analogiczną kampanią:

Faktura 20_02_2015.doc.scr VT, HA
MD5: d34de1b7584282ddb48fa97b1e3afd72
SHA256: ab5a1a9bf63e44731a7311031ba56ae5c1266ac83356616000f0a6c32a3d595f

Przykładowe treści wiadomości, w jakich przesyłane były złośliwe pliki:

Dzien dobry, w zwiazku z nasza rozmowa telefoniczna przesylam wspomniana faktura. Plik jest zabezpieczony haslem. Haslo do pliku to – faktura. Pozdrawiam glowna ksiegowa Irena Kowalska.

Drodzy Panstwo, w nawiazaniu do rozmowy telefonicznej z piatku, tj. 20/02, przesylam fakture VAT do rozliczenia.

Haslo do faktury to: faktura


Andrzej Twardowski
Mlodszy pracownik administracyjny

Ksiegi-Spolka Z.o.o.
ul. Rolanda 19
02-024 Warszawa

Sporo innych przykładów znajdziecie w tym wątku – skala prób oszustwa jest spora. W tym samym wątku znajduje się również krótka relacja poszkodowanego, któremu próbowano okraść konto w PKO, jednak bank zdążył zareagować i zablokować nieautoryzowaną transakcję. To miła wiadomość, choć nie zalecamy oczekiwania na reakcję banku jako strategii obrony przed tego rodzaju zagrożeniami.

Dziękujemy Marcinowi, Michałowi i Tomkowi za podesłane próbki.

Powrót

Komentarze

  • 2015.04.07 16:21 tomek

    teraz jest cos takiego http://www.bizzanalytics.com/pit.php

    Odpowiedz
    • 2015.04.07 16:37 Adam

      LOL, który to ;)

      Odpowiedz
      • 2015.04.07 20:16 Adam

        I tak bedzie na Ciebie… ;)

        Odpowiedz
        • 2015.04.09 08:36 Przemysław

          A co tam było?

          Odpowiedz
  • 2015.04.07 16:50 dMe

    Znajomy dostal ten plik, w dokladnie takim mailu :
    http://haktywista.net/Faktura%2020_02_2015.doc.scr

    Odpowiedz
  • 2015.04.07 16:52 dMe

    Widze ze juz Michal wam go podeslal wczesniej :P Nie dopatrzenie

    Odpowiedz
  • 2015.04.07 16:53 Robert

    Najlepiej mają Ci co nie mają konta w e-banku a pieniądze trzymają w skarpetach xD

    Odpowiedz
  • 2015.04.07 17:42 Olaf Siejka

    „Program został ochrzczony nazwą Slave ze względu na fragment ścieżki, która została znaleziona w kodzie: c:\b\build\slave\ …”

    Tworca tego dziada po prostu korzysta ze środowiska do automatyzacji kompilacji, znanego jako Buildbot: http://buildbot.net/

    Odpowiedz
  • 2015.04.07 18:01 echo

    http://securityblog.s21sec.com/2015/03/new-banker-slave-hitting-polish-banks.html – to jest cały wpis o tym trojanie? to jacyś ludzie „bez kompleksów” musieli analizować, 3 obrazki i 3 zdania, pewnie u nich również miało miejsce magiczne i tajemnicze zjawisko o nazwie restrukturyzacja ;D

    Odpowiedz
  • 2015.04.07 19:04 a

    Kogo obchodzą wirusy pod Windowsa.

    Odpowiedz
    • 2015.04.07 19:16 Ant

      O stary, jesteś tak alternatywny ze swoim linuxem, że chyba kupię bilet i stanę w kolejce by móc Cię dotknąć.

      Odpowiedz
    • 2015.04.07 19:17 aa

      jakieś 90% użytkowników komputerów na świecie ?
      W tym mnie bo uważam że analizy profesjonalnego malware to jedno z tych zajęć które rozwija

      Odpowiedz
    • 2015.04.07 20:01 Adam

      @a
      a kogo obchodzi twój głupkowaty komentarz… ?

      Odpowiedz
    • 2015.04.07 22:08 linoskoczek

      A może jabłuszka używa? Ono przecież najbezpieczniejsze :P

      Odpowiedz
    • 2015.04.09 12:22 Eremita

      Wszystkich, którzy używają systemu, na który istnieją jakiekolwiek aplikacje?

      Odpowiedz
  • 2015.04.07 19:46 Elektroniczny

    No i co do konca zycia bedziecie informowac o spamie? rozne trojany kraza, codziennie kilka maili wiec jaki sens o tym pisac ?

    Odpowiedz
    • 2015.04.07 19:53 aa

      ale z tego co zrozumiałem to nowy trojan, nie sądzisz że warto informować o nowych zagrożeniach ?

      Odpowiedz
    • 2015.04.07 20:06 Adam

      @Elektroniczny
      U trollecznika za to masz po dwa newsy straszące przed nieistniejącym trojanem i polecające wykonanie poleceń kasujących posiadane dokumenty i pliki, a później w komentarzach obrażają ludzi… Wolisz taką wersję?

      Odpowiedz
      • 2015.04.08 22:39 Carpenter

        Mozesz napisac gdzie dokladnie obrazaja ludzi w komentarzach ?
        Pytam z ciekawosci bo tez przegladam ich wpisy ale nie zauwazylem tego co opisales ;)

        Odpowiedz
  • 2015.04.07 20:14 Adam

    Po raz kolejny objawia się głupota z domyślnym ukrywaniem rozszerzeń nazw plików. Inaczej końcówki nazw typu „V_388_02_20_2015.doc.scr” by były łatwiejsze do zauważenia nawet dla poinstruowanej księgowej Basi…

    Niby są ikonki, ale raz, że się zmieniają, a dwa, że w pewnych przypadkach można je skutecznie podmieniać na dowolny obrazek…

    Odpowiedz
  • 2015.04.07 21:48 M

    Macie tutaj odpakowany do analizy:

    http://speedy.sh/aNvVb/unpacked-infected.zip

    Haslo: infected

    Odpowiedz
  • 2015.04.07 22:47 joker

    Jadę na Linuxach ale niedawno mBank gdy się wylogowywało wychodził błąd i stronka prosiła o ponowne zalogowanie, dziwne. Człowiek nie wiedział czy przelew był zrealizowany czy nie. Staram się nie trzymać na koncie internetowym dużych sum, tylko na podstawowe opłaty.

    Odpowiedz
  • 2015.04.09 08:38 Marecky

    A ja wczoraj dostałem od sekretarki takiego właśnie maila z zapytaniem co ma z tą fakturą zrobić. Na moje pytanie czy otwierała załącznik odpowiedziała, że przecież zabroniłem otwierać dlatego pyta co ma zrobić.
    Na szczęście ludzie myślą ;)

    Odpowiedz
  • 2015.04.09 18:55 Marty

    Dziś tj 8 kwietnia niejaki „ekspert” Kędzierski opublikował na łamach gazeta.pl tekst
    pt. „Gigantyczna skala ataku na klientów mBanku i PKO. Nie otwieraj takich wiadomości! Zawierają groźnego trojana”

    http://technologie.gazeta.pl/internet/1,104530,17717933.html
    Przypominam że:
    „Tylko do 1 kwietnia
    Ciekawy jest także fragment kodu, który nakazuje koniowi trojańskiemu przestać funkcjonować po 1 kwietnia tego roku”….

    Odpowiedz
  • 2015.06.09 20:52 Zbyszek

    Witam, otrzymałem też niby to fakturę do jakiejś umowy właśnie z tym rozszerzeniem ale pocztę odczytałem na smartfonie z Windows Phone 8,1. Myślę, że ten program się nie uruchomi na telefonie, ikonę miał początkowo jak PDF. To raczej Koń Trojański, bo żadnych umów z jakąś Kikki nie zawierałem i w ogóle nie znam. Proszę jakąś radę gdzie można wysłać to do zbadania. Pozdrawiam wszystkich czytających

    Odpowiedz
  • 2015.06.09 20:58 Zbyszek

    Ten e-mail był od niejakiej Kikki Brown

    Odpowiedz
  • 2015.06.09 21:08 Zbyszek

    Pogrzebałem w poczcie i znalazłem jeszcze jeden od niejakiej Lucy z tego adresu
    Od: Lusy to musi być niezłe paskudztwo!!!

    Odpowiedz

Zostaw odpowiedź do Adam

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Nowy koń trojański atakuje klientów mBanku oraz PKO

Komentarze