ESET: у любителей порно крадут банковские данные

Специалисты международной антивирусной компании ESET проанализировали кибератаку с использованием банковского трояна Win32/Brolux.A.

Кампания ориентирована на пользователей онлайн-банкинга из Японии. Для распространения Win32/Brolux.A злоумышленники используют эксплойты для уязвимости Flash Player (CVE-2015-5119) из утекших данных Hacking Team, а также для Unicorn Bug – уязвимости браузера Internet Explorer, обнаруженной в конце 2014 года (CVE-2014-6332).

Эксплойты срабатывают, когда пользователь заходит на сайт со «взрослым» контентом, и пытаются установить исполняемый файл Win32/Brolux.A. Подобный механизм распространения был у еще одного трояна, нацеленного на японских пользователей – Win32/Aibatook.

Троян Win32/Brolux.A специализируется на краже персональных данных пользователей онлайн-банкинга. Он компрометирует браузеры Internet Explorer, Firefox и Google Chrome.

Код полезной нагрузки трояна использует два конфигурационных файла: первый содержит список из 88 URL-адресов японских сайтов дистанционного банковского обслуживания, второй – названия соответствующих окон браузера. Когда пользователь заходит на сайт через Internet Explorer, вредоносная программа получает текущий URL и сравнивает его с заданным списком. При использовании Firefox и Chrome троян сопоставляет заголовок окна. В случае совпадения Win32/Brolux.A показывает фишинговую страницу.

Злоумышленники маскируют поддельную страницу под сайты прокуратуры или агентства финансовых услуг. Она содержит официальное предупреждение для пользователей банковских услуг, а также форму для ввода данных онлайн-банкинга и ответов на секретные вопросы для входа в аккаунт.

Банковский троян Win32/Brolux.A действует по схеме, стандартной для этого типа вредоносного ПО, и детектируется антивирусными продуктами. Тем не менее, эксперты ESET напоминают о мерах предосторожности при работе с онлайн-банкингом – необходимо своевременно обновлять операционную систему, отслеживать появление подозрительных окон и использовать современное антивирусное ПО.

Регион: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Аватар пользователя savely

Эксплойты срабатывают, когда пользователь заходит на сайт со «взрослым» контентом, и пытаются установить исполняемый файл Win32/Brolux.A. 

Хм, зачем такие сложности? Пусть они пытаются сразу отдать данные карты. :))

Лично у меня мысли "пытаться" установить какую-то херню не возникает. Хоть с сайта с "взрослым" контентом, хоть с "детским". 

Куда катится мир... Я могу понять поимку юзерами троянов которые САМИ ставятся, используя дыры там или тут.

Но "пытаться установить" - это что-то типа анекдота "я вирус! наберите format C:, нажмите "Enter"... 

Аватар пользователя mike

Поэтому перед заходом на взрослый сайт надо не только отключать камеру, но и джаваскрипт. :)