12 febbraio 2016

I trojan bancari sono considerati una delle principali minacce alla sicurezza informatica, questi programmi malevoli hanno ampie funzionalità. Tuttavia, cercando di ingannare clienti di banche, i malintenzionati utilizzano anche soluzioni semplici — per esempio il Trojan.Proxy2.102, analizzato dagli specialisti Doctor Web.

Il Trojan.Proxy2.102 è studiato per rubare soldi da conti bancari e a tale scopo utilizza un metodo abbastanza semplice. Avviato sul dispositivo attaccato, il trojan installa nel sistema un certificato digitale radice e modifica le impostazioni di connessione Internet, trascrivendoci l'indirizzo di un server proxy appartenente ai malintenzionati.

A partire da quel punto ogni connessione del browser a pagine web del sistema di internet-banking di alcune maggiori banche russe viene effettata attraverso il proxy dei criminali informatici. Tramite il proxy, contenuti estranei vengono incorporati nelle pagine dei sistemi di home-banking aperte sul computer compromesso, e tali contenuti consentono ai malintenzionati di rubare denaro dai conti bancari della vittima. Per il momento è stato determinato che il Trojan.Proxy2.102 è capace di sostituire contenuti delle seguenti risorse internet bancarie: online.sberbank.ru, online.vtb24.ru e online.rsb.ru. Siccome il trojan prima installa sul computer infetto un falso certificato digitale tramite cui firma relative pagine web, l'utente difficilmente sarà in grado di accorgersi dell'avvenuta sostituzione.

Dopo un'installazione riuscita, il trojan manda un messaggio di questo evento sul server di gestione. Siccome non si registra nell'esecuzione automatica in nessun modo, dopo aver eseguito le sue attività malevole, il trojan entra in una modalità di sospensione senza fine.

Antivirus Dr.Web rileva e rimuove con successo il programma malevolo Trojan.Proxy2.102, dunque il malware non rappresenta pericolo ai nostri utenti.