25 settembre 2018

I moderni trojan banker utilizzano vari metodi di furto di denaro dai conti bancari delle loro vittime – sia i metodi ad alta tecnologia e sia quelli basati sulla disattenzione o la creduloneria dell'utente. Un banker rilevato dagli specialisti Doctor Web, di cui stiamo parlando in questo articolo, minaccia gli utenti di sistemi di e-banking brasiliani. Per oggi, sono stati identificati oltre 300 campioni unici di questo banker, così come oltre 120 server utilizzati da esso, mentre la diffusione del malware continua.

Il trojan, conosciuto dai database dei virus Dr.Web come Trojan.PWS.Banker1.28321, si diffonde sotto le mentite spoglie dell'applicazione Adobe Reader studiata per la visualizzazione di documenti in formato PDF. All'avvio esso visualizza una finestra con l'immagine del nome di questo programma.

Il programma malevolo cerca di determinare se esso è in esecuzione in un ambiente virtuale, e se viene rilevata una macchina virtuale, il malware si chiude. Inoltre, il banker controlla le impostazioni della lingua locale di Windows — se la lingua del sistema è diversa dal portoghese, il trojan non esegue alcuna azione.

Il modulo downloader di Trojan.PWS.Banker1.28321 è implementato come script in linguaggio VBscript, mentre il trojan stesso è scritto in .NET. Lo script downloader viene mandato in esecuzione tramite un oggetto COM standard MSScriptControl.ScriptControl. Si connette a un server di gestione e scarica due file ZIP, uno dei quali contiene una libreria dinamica offuscata creata tramite l'ambiente di sviluppo Delphi. In questa libreria sono concentrate le funzioni principali del programma malevolo.

Quando gli utenti aprono nel browser i siti di internet banking di alcuni istituzioni finanziarie brasiliane, Trojan.PWS.Banker1.28321 sostituisce impercettibilmente la pagina web, mostrando alla vittima un falso modulo di inserimento login e password, e in alcuni casi chiede di indicare il codice di verifica autenticazione ricevuto in un messaggio SMS dalla banca. Il trojan trasmette queste informazioni ai malintenzionati.

Molti trojan banker utilizzano uno schema simile di sostituzione dei contenuti delle pagine web di e-banking visualizzate dall'utente. Essi minacciano spesso i clienti di banche non solo in Brasile, ma in tutto il mondo. Nell'ultimo mese gli specialisti Doctor Web hanno identificato oltre 340 campioni unici di Trojan.PWS.Banker1.28321, nonché 129 domini e indirizzi IP delle risorse internet appartenenti ai malintenzionati da cui il trojan scarica gli archivi contenenti una libreria malevola. Questo indica un'ampia diffusione del banker. Le informazioni su tutti i campioni conosciuti di Trojan.PWS.Banker1.28321 sono state aggiunte ai database dei virus Dr.Web, e gli indirizzi dei server utilizzati da esso sono stati aggiunti ai database dell'antivirus del traffico web Spider Gate, pertanto il trojan non rappresenta alcuna minaccia per i nostri utenti.

Informazioni sul trojan

#banker #trojan_banker #trojan