Banki adatokra éhes egy új károkozó

Egy újabb trójai program szedi áldozatait a banki ügyfelek körében. A számítógépes károkozó többféle módon képes megkaparintani a számára értékes adatokat.
 

A kiberbűnözők egyik legjelentősebb pénzforrásának a banki adatok eltulajdonítása számít. Így nem meglepő, hogy a vírusírók komoly erőforrásokat áldoznak arra, hogy az adatlopásra alkalmas kártékony programjaikat folyamatosan fejlesszék. Leginkább két szempontot tartanak szem előtt, amikor a nemkívánatos szerzeményeiket készítik. Egyrészt minél több értékes információ birtokába akarnak jutni, másrészt mindezt feltűnés nélkül kívánják megtenni a felhasználók és a biztonsági alkalmazások megtévesztésével. Minderre szolgáltat egy újabb példát az a Hesperbot nevű trójai, amelyre elsőként az ESET kutatói figyeltek fel.

E-mailben érkezik a károkozó

A Hesperbot terjesztői egy már bevált módszert választottak arra, hogy a kártékony programjukat minél szélesebb körben terjesszék. A trójait elsősorban elektronikus levelek révén próbálják célba juttatni. Sok esetben e küldeményeik első ránézésre úgy festenek, mintha azokat a cseh posta küldte volna. A csalók még egy megtévesztésre alkalmas domain nevet is beregisztráltak. Ugyanakkor a károkozó nem kizárólag a cseh számítógépek körében terjed. A legtöbb problémát eddig Törökországban okozta, de például Nagy-Britannia is a kedvenc vadászterületei közé tartozik. Mindez persze nem azt jelenti, hogy más országokban nem üthetné fel a fejét. Sőt erre meglehetősen nagy is az esély, mivel a kártevő a kiberbűnözők szempontjából jól testre szabható.

Mindent tud, amit az elődjei

A Hesperbot széles körű funkcionalitással rendelkezik. A trójait tulajdonképpen minden olyan jelentősebb képességgel „megáldották”, amelyek korábbi kémprogramok esetében már gondokat okoztak. Így például alkalmas a billentyűleütések monitorozására, képernyőképek lementésére és fényképek webkamerák segítségével történő készítésére. A Hesperbot rendelkezik egy olyan modullal, amely banki weboldalak manipulálására szolgál úgynevezett HTML injection technikák bevonásával. Ezek révén a károkozó a háttérben tudja manipulálni a számára érdekes weblapokat, amik már kompromittált formában jelennek meg a felhasználó böngészőjében. Gyakori eset, amikor a trójai egy hamis űrlapot szúr be az oldalba, amelynek felhasználó általi kitöltését követően az adatok a vírusterjesztőkhöz kerülnek. Mindezek mellett meg kell említeni, hogy a Hesperbot egy kifejezetten e-mail címek gyűjtésére és kiszivárogtatására alkalmas modullal is rendelkezik.

A trójai építőkockái

Érdemes kitérni arra, hogy az előbbiekben is említett modulok milyen szerepet töltenek be a Hesperbot működésében. A trójai számos modullal rendelkezik, amelyek közül kettő alapvetően szükséges ahhoz, hogy a kártevő egyáltalán el tudjon indulni egy számítógépen. Az úgynevezett Dropper modul feladata, hogy feljuttassa az úgynevezett Core (mag) modult a PC-kre, és megfertőzze a Windows explorer.exe folyamatát. Ettől kezdve e folyamat mögül, a háttérben, láthatatlanul végzi a tevékenységét. A Core modul szerepe pedig nem más, mint hogy további bővítményeket töltsön le, és kezelje, koordinálja a trójai működését. A bővítmények között megtalálhatók hálózati adatforgalom monitorozására, adatlopásra, és proxy vagy VNC-szerver létrehozására alkalmas kiegészítők is.

"Az elemzéseink arra világítottak rá, hogy egy banki trójairól van szó, amely hasonló funkcionalitással rendelkezik, mint a rossz hírnévnek örvendő Zeus és SpyEye programok. Azonban a megvalósítást illetően jelentős különbségek figyelhetők meg, amik miatt egy új károkozó családról beszélhetünk, és nem valamely korábbi trójai egy újabb variánsáról" - nyilatkozta Robert Lipovsky, az ESET víruskutatója.

A Hesperbot és a hasonló célokat dédelgető ártalmas programok elleni védekezés legfontosabb kellékének a naprakészen tartott víruskeresők számítanak. Ugyanakkor a weboldalak megfontolt böngészése és az elektronikus levelek körültekintő kezelése is lényeges a károk megelőzése szempontjából.