Alattomos taktikára váltott a bankoló OddJob trójai

A banki adatok megszerzésére kifejlesztett trójai programok évek óta egyre több kárt okoznak a pénzintézeteknek és az ügyfeleiknek. Legtöbbször olyan számítógépes károkozók terjednek, amelyek vagy a böngészőkkel végzett műveletek kémlelésével igyekeznek hozzáférni a belépési adatokhoz, vagy a billentyűleütések naplózásával próbálnak hitelesítési információkhoz hozzáférni. Az ilyen jellegű trójai programok generálásához számos alvilági eszközkészlet is megtalálható az internetes feketepiacon, amelyek egyszerű módszerekkel teszik lehetővé a számítógépes bűnözők számára a különféle kártevők készítését.

Más technikát alkalmaz az OddJob trójai

A napokban egy nem teljesen szokványosnak mondható trójai terjedésére figyeltek fel a Trusteer kutatói. Az OddJob névre keresztelt trójai ugyanis nem a felhasználó által bevitt adatokat fürkészi ki, hanem az ügyfelek előtt láthatatlan, ugyanakkor biztonsági szempontból kritikus fontosságú információkat gyűjti össze, majd tulajdonképpen valós időben továbbítja azokat a terjesztői számára. A károkozó akkor lép működésbe, miután a felhasználó bejelentkezik a bankjának internetes weboldalára. Ekkor megszerzi a session információkat, és azokat feltölti egy távoli szerverre. Ezáltal a támadók megfelelő módszerek alkalmazásával pontosan olyan hozzáférést szerezhetnek a banki szolgáltatásokhoz, mint amivel az áldozatul esett felhasználó rendelkezik.

Az OddJob arra is képes, hogy a banki weboldalakról való kijelentkezést megakadályozza, és ezáltal több időt adjon a csalóknak a jogtalan tevékenységeik végrehajtására. Amikor ugyanis a felhasználó a kijelentkezés linkre kattint, akkor a trójai blokkolja a kérést. Ekkor ugyan különféle hibaüzenetek megjelenhetnek a böngészőben, de ettől még a session nem kerül felszabadításra.

Az OddJob taktikája kizárólag olyan bankok esetében válhat be, amelyek a session információk ellenőrzését és az anomáliák vizsgálatát nem végzik kellő alapossággal. Ha ugyanis például az IP-címek is vizsgálat alá kerülnek a hitelesítések alkalmával, akkor a trójai hiába küldi el a session adatokat, a támadók nagy valószínűséggel nem lesznek képesek kihasználni a birtokukba került információkat. A Trusteer szerint a trójai többek között egyes amerikai, lengyel és dán bankok esetében működőképes. A kártevő az Internet Explorer valamint a Firefox böngészőkkel kompatibilis.

Az eddigi vizsgálatok alátámasztották, hogy a kártékony program kelet-európából indult hódító útjára. A biztonsági cég elismerte, hogy már tavaly év vége óta tud az OddJob trójairól, de a hatósági vizsgálatok, nyomozások miatt eddig nem tudta megosztani a nyilvánossággal a kártékony programmal kapcsolatos felfedezéseit. Időközben fény derült arra, hogy az OddJob minden egyes alkalommal, amikor elindul, egy távoli szerverről a működésének szabályozásához szükséges konfigurációs paramétereket letölti. Ezen adatokat - ellentétben sok egyéb vírussal - nem menti le a fertőzött számítógépekre, hanem azokat újra és újra lekérdezi.

Okoz még fejtörést az OddJob

A Trusteer szerint az OddJob még sok fejtörést okozhat a jövőben, ugyanis a session információk eltulajdonításán kívül rávehető kártékony kódok letöltésére és futtatására valamint hálózati kapcsolatok manipulálására is. Amit Klein, a Trusteer műszaki igazgatója azt valószínűsíti, hogy a trójai hamarosan további, kifinomult funkciókkal fog gyarapodni.