+- Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety • (https://windows7forum.pl)
+-- Dział: Windows 7 (/windows-7-4-f)
+--- Dział: Newsy i aktualności o Windows 7 (/newsy-i-aktualnosci-o-windows-7-6-f)
+---- Dział: Aktualności i wydarzenia branży IT (/aktualnosci-i-wydarzenia-branzy-it-52-f)
+---- Wątek: Hesperbot okrada konta (/hesperbot-okrada-konta-36197-t)
Hesperbot okrada konta - Portator - 21.09.2013 14:50
Koń trojański Zeus przez długie tygodnie nie schodził z czołówek list najpopularniejszych i najniebezpieczniejszych zagrożeń dla danych i finansów użytkowników. Dziś już praktycznie każde narzędzie ochronne skutecznie zablokuje tego szkodnika, ale cyberprzestępcy nie próżnują, dziś mamy Hesperbota.
![[Obrazek: zdjecia%2Fartykuly%2Fmarkowal%2Fnewsy%2Fmalware_ico.jpg]](http://pclab.pl/zdjecia%2Fartykuly%2Fmarkowal%2Fnewsy%2Fmalware_ico.jpg)
Wykryty pod koniec sierpnia koń trojański Hesperbot, jak przystało na nowoczesny, złośliwy kod, jest zagrożeniem wielomodułowym. Już dawno ataki cyberprzestępców przestały sprowadzać się do infekcji komputera za pomocą konkretnego kodu. Dziś mamy do czynienia z całymi scenariuszami działania stanowiącymi konkretne zagrożenie.
Celem Hesperbota są - jakżeby inaczej - finanse zaatakowanych użytkowników internetowych kont bankowych. Propagacja szkodnika przebiega w "klasyczny" sposób - poprzez wiadomość phishingową. Ofiara otrzymuje e-mail wyglądający oczywiście na rzeczywistą wiadomość nadesłaną przez zaufaną instytucję, np. w Czechach wyjątkowo dotkliwie zaatakowanych przez nowego szkodnika (dane opublikowane przez firmę ESET), ofiary otrzymywały maila "udającego" wiadomość z tamtejszego urzędu pocztowego.
Załącznik maila zawiera oczywiście złośliwy kod wykonywalny podszywający się pod dokument PDF. Skuteczność Hesperbota wynika z tego, że twórcom szkodnika udało się znaleźć metodę obejścia mechanizmu autoryzacji przelewów za pomocą jednorazowych kodów przesyłanych SMS-ami. Komputer zainfekowany Hesperbotem ma w systemie tworzony serwer proxy. Podczas próby połączenia z witryną banku wyświetla ofierze informację o konieczności instalacji dodatkowej aplikacji mobilnej. Ponieważ adres witryny jest prawidłowy, bo faktycznie otwarta jest rzeczywista witryna banku, wiele osób nieświadomych infekcji nabrało się na ten trik i instaluje mobilne narzędzie (zostało ono przygotowane na platformy Symbian, Android i Blackberry). Ów program to typowy atak typu "man-in-the-middle". Przechwytuje on komunikację SMS-ową pomiędzy bankiem a użytkownikiem, przesyłając jednorazowe kody przestępcom.
Warto jeszcze dodać, że sama obecność proxy powoduje, że przestępca jest w stanie przechwycić każdy znak wpisywany przez ofiarę, jak również zapisać ekran użytkownika. Fakt, że odwiedzane przez ofiarę strony są "czyste", a ich adresy prawidłowe, nie ma w tym momencie żadnego znaczenia.
Źródło: eset, dagma
Wykryty pod koniec sierpnia koń trojański Hesperbot, jak przystało na nowoczesny, złośliwy kod, jest zagrożeniem wielomodułowym. Już dawno ataki cyberprzestępców przestały sprowadzać się do infekcji komputera za pomocą konkretnego kodu. Dziś mamy do czynienia z całymi scenariuszami działania stanowiącymi konkretne zagrożenie.
Celem Hesperbota są - jakżeby inaczej - finanse zaatakowanych użytkowników internetowych kont bankowych. Propagacja szkodnika przebiega w "klasyczny" sposób - poprzez wiadomość phishingową. Ofiara otrzymuje e-mail wyglądający oczywiście na rzeczywistą wiadomość nadesłaną przez zaufaną instytucję, np. w Czechach wyjątkowo dotkliwie zaatakowanych przez nowego szkodnika (dane opublikowane przez firmę ESET), ofiary otrzymywały maila "udającego" wiadomość z tamtejszego urzędu pocztowego.
Załącznik maila zawiera oczywiście złośliwy kod wykonywalny podszywający się pod dokument PDF. Skuteczność Hesperbota wynika z tego, że twórcom szkodnika udało się znaleźć metodę obejścia mechanizmu autoryzacji przelewów za pomocą jednorazowych kodów przesyłanych SMS-ami. Komputer zainfekowany Hesperbotem ma w systemie tworzony serwer proxy. Podczas próby połączenia z witryną banku wyświetla ofierze informację o konieczności instalacji dodatkowej aplikacji mobilnej. Ponieważ adres witryny jest prawidłowy, bo faktycznie otwarta jest rzeczywista witryna banku, wiele osób nieświadomych infekcji nabrało się na ten trik i instaluje mobilne narzędzie (zostało ono przygotowane na platformy Symbian, Android i Blackberry). Ów program to typowy atak typu "man-in-the-middle". Przechwytuje on komunikację SMS-ową pomiędzy bankiem a użytkownikiem, przesyłając jednorazowe kody przestępcom.
Warto jeszcze dodać, że sama obecność proxy powoduje, że przestępca jest w stanie przechwycić każdy znak wpisywany przez ofiarę, jak również zapisać ekran użytkownika. Fakt, że odwiedzane przez ofiarę strony są "czyste", a ich adresy prawidłowe, nie ma w tym momencie żadnego znaczenia.
Źródło: eset, dagma