Proteggi ciò che crei

Le altre nostre risorse

Chiudi

La mia libreria
La mia libreria

+ Aggiungi alla libreria

Supporto
Supporto 24/7 | Regole per contattare

Richieste

Profile

Back to news

Trojan banker minaccia i clienti di istituzioni creditizie brasiliane

25 settembre 2018

I moderni trojan banker utilizzano vari metodi di furto di denaro dai conti bancari delle loro vittime – sia i metodi ad alta tecnologia e sia quelli basati sulla disattenzione o la creduloneria dell'utente. Un banker rilevato dagli specialisti Doctor Web, di cui stiamo parlando in questo articolo, minaccia gli utenti di sistemi di e-banking brasiliani. Per oggi, sono stati identificati oltre 300 campioni unici di questo banker, così come oltre 120 server utilizzati da esso, mentre la diffusione del malware continua.

Il trojan, conosciuto dai database dei virus Dr.Web come Trojan.PWS.Banker1.28321, si diffonde sotto le mentite spoglie dell'applicazione Adobe Reader studiata per la visualizzazione di documenti in formato PDF. All'avvio esso visualizza una finestra con l'immagine del nome di questo programma.

Trojan.PWS.Banker1.28321 #drweb Trojan.PWS.Banker1.28321 #drweb

Il programma malevolo cerca di determinare se esso è in esecuzione in un ambiente virtuale, e se viene rilevata una macchina virtuale, il malware si chiude. Inoltre, il banker controlla le impostazioni della lingua locale di Windows — se la lingua del sistema è diversa dal portoghese, il trojan non esegue alcuna azione.

Il modulo downloader di Trojan.PWS.Banker1.28321 è implementato come script in linguaggio VBscript, mentre il trojan stesso è scritto in .NET. Lo script downloader viene mandato in esecuzione tramite un oggetto COM standard MSScriptControl.ScriptControl. Si connette a un server di gestione e scarica due file ZIP, uno dei quali contiene una libreria dinamica offuscata creata tramite l'ambiente di sviluppo Delphi. In questa libreria sono concentrate le funzioni principali del programma malevolo.

Quando gli utenti aprono nel browser i siti di internet banking di alcuni istituzioni finanziarie brasiliane, Trojan.PWS.Banker1.28321 sostituisce impercettibilmente la pagina web, mostrando alla vittima un falso modulo di inserimento login e password, e in alcuni casi chiede di indicare il codice di verifica autenticazione ricevuto in un messaggio SMS dalla banca. Il trojan trasmette queste informazioni ai malintenzionati.

Trojan.PWS.Banker1.28321 #drweb

Trojan.PWS.Banker1.28321 #drweb

Trojan.PWS.Banker1.28321 #drweb

Trojan.PWS.Banker1.28321 #drweb

Trojan.PWS.Banker1.28321 #drweb

Molti trojan banker utilizzano uno schema simile di sostituzione dei contenuti delle pagine web di e-banking visualizzate dall'utente. Essi minacciano spesso i clienti di banche non solo in Brasile, ma in tutto il mondo. Nell'ultimo mese gli specialisti Doctor Web hanno identificato oltre 340 campioni unici di Trojan.PWS.Banker1.28321, nonché 129 domini e indirizzi IP delle risorse internet appartenenti ai malintenzionati da cui il trojan scarica gli archivi contenenti una libreria malevola. Questo indica un'ampia diffusione del banker. Le informazioni su tutti i campioni conosciuti di Trojan.PWS.Banker1.28321 sono state aggiunte ai database dei virus Dr.Web, e gli indirizzi dei server utilizzati da esso sono stati aggiunti ai database dell'antivirus del traffico web Spider Gate, pertanto il trojan non rappresenta alcuna minaccia per i nostri utenti.

Informazioni sul trojan

#banker #trojan_banker #trojan

La tua opinione conta per noi

Per ogni commento viene accreditato 1 punto Dr.Web. Per fare una domanda relativa alla notizia all'amministrazione del sito, inserire @admin all'inizio del commento. Se una domanda si fa all'autore di uno dei commenti — inserire @ prima del suo nome.


Altri commenti

Sviluppatore russo degli antivirus Dr.Web

Esperienza di sviluppo dal 1992

Dr.Web viene utilizzato in 200+ paesi del mondo

L'antivirus viene fornito come un servizio dal 2007

Supporto ventiquattro ore su ventiquattro

© Doctor Web
2003 — 2019

Doctor Web — sviluppatore russo dei software di protezione antivirus delle informazioni Dr.Web. I prodotti Dr.Web vengono sviluppati fin dal 1992.

125040, Russia, Mosca, la 3° via Yamskogo polya, 2, 12A