IBM виявила банківський троян UnregStealer, націлений на банки в Латинській Америці

IBM виявила банківського трояна під назвою UnregStealer, який атакує банки в Латинській Америці, маскуючись під розширення для Chrome. Старший дослідник загроз Іцхак Хіміно повідомив, що шкідливе ПЗ вводить користувачів в оману, змушуючи їх встановити його, показуючи фейкові попередження безпеки про обов’язкове оновлення SSL-сертифікатів. Троян працює з ручним людським наглядом, через що він майже непомітний для пісочниць і систем виявлення за поведінкою, які ніколи не бачать, як корисне навантаження активується. Такий спосіб роботи дозволяє UnregStealer викрадати cookie сесії, паролі, одноразові паролі та номери рахунків у жертв, які відвідують цільові банківські портали.

UnregStealer Маскується під Оновлення SSL-сертифіката

За словами Хіміно, UnregStealer обманює користувачів через сфабриковані попередження безпеки. Виходячи з конвенції іменування виконуваних файлів і схеми доставки, жертвам показують те, що виглядає як попередження про безпеку, яке повідомляє, ніби їхньому браузеру потрібне обов’язкове оновлення SSL-сертифіката. Сертифікат повністю вигаданий, і не існує жодної такої вимоги для браузера. Це просто переконлива легенда, щоб змусити жертву запустити виконуваний файл.

Шкідливе ПЗ Перехоплює Банківські Облікові Дані Через Моніторинг Сесії

Коли користувач переглядає інтернет, шкідливе ПЗ запускає скрипт, який перевіряє, чи відвідує жертва один із вебсайтів, зазначених серед цільових банківських порталів. Якщо так, шкідливе ПЗ краде cookie сесії для банківського вебсайту, який відвідує жертва. Кожного разу, коли користувач клацає в поле та вводить інформацію, шкідливе ПЗ захоплює привілейовані дані, зокрема паролі, одноразові паролі та номери рахунків.

Ручна Робота Дозволяє Обійти Системи Виявлення

Хіміно пояснив, що цей троян передбачає реального оператора, який спостерігає за кожною сесією жертви в реальному часі та запускає атаку вручну. Ця варіація робить кампанію майже непомітною для пісочниць і систем виявлення за поведінкою, які ніколи не бачать, як корисне навантаження активується. Після того як інформацію зібрано, подальші дії UnregStealer визначає його людський оператор.

IBM Визначила Потенціал Для Розширення Атак

За словами Хіміно, банківське шкідливе ПЗ UnregStealer має здатність і потенціал становити більшу загрозу. Спостережені патерни інфраструктури вказують на оператора, який здатний і має мотивацію розширити таргетинг за межі того, що це розслідування вже підтвердило.

FAQ

Що таке UnregStealer і як він націлюється на жертв?

UnregStealer — це банківський троян, який атакує банки в Латинській Америці, маскуючись під розширення для Chrome. Він вводить користувачів в оману, змушуючи встановити його через фейкові попередження безпеки про обов’язкове оновлення SSL-сертифікатів, які повністю сфабриковані.

Як UnregStealer обходить системи виявлення?

Шкідливе ПЗ передбачає реального оператора, який спостерігає за кожною сесією жертви в реальному часі та запускає атаку вручну. Така ручна робота робить кампанію майже непомітною для пісочниць і систем виявлення за поведінкою, які ніколи не бачать, як корисне навантаження активується.

Яку інформацію UnregStealer викрадає в жертв?

UnregStealer викрадає cookie сесії для банківських вебсайтів і перехоплює привілейовані дані, зокрема паролі, одноразові паролі та номери рахунків щоразу, коли користувач клацає в поле та вводить інформацію на цільових банківських порталах.