18 września 2014

Dowód wpłaty w załączniku? Nie, to trojan

Eksperci z firmy antywirusowej ESET zidentyfikowali kolejne zagrożenie, które podmienia numer konta bankowego podczas kopiowania go do formularza przelewu internetowego. Tym razem zagrożenie próbuje się podszyć pod znany i bezpieczny program, a zainfekowane załączniki przypominają pliki PDF. Celem złośliwej aplikacji jest kradzież pieniędzy z kont bankowych Polaków.

Zagrożenie zidentyfikowane przez ekspertów z laboratorium firmy ESET jako Win32/ClipBanker.C działa podobnie jak złośliwy program opisany przez ESET w grudniu zeszłego roku. Zagrożenie rozsyłane jest w mailach jako załącznik o nazwie: Dowód_wpłaty.exe, z ikoną przypominającą plik PDF. Wszystko po to, by zasugerować, że jest to dowód wpłaty i w ten sposób skłonić ofiarę do kliknięcia. Po kliknięciu w plik, trojan pobiera kolejne zagrożenie o nazwie: PDF_Reader.exe z serwera znajdującego się w polskiej domenie. Właśnie to drugie zagrożenie pobiera z tego samego serwera numer konta bankowego, na który ma zostać podmieniony skopiowany numer przechowywany w schowku. Następnie rozpoczyna regularne sprawdzanie zawartości schowka systemowego, czekając na moment, w którym pojawi się w nim 26 cyfrowy numer zapisany w określonym formacie. Zagrożenie ma zapisany także w swoim kodzie numer konta bankowego i jeśli nie uda się pobrać numeru konta bankowego z serwera, to wykorzystuje numer, który ma zapisany. Zagrożenie wysyła do serwera w tej samej polskiej domenie parametr o nazwie ,,tekst” ustawiony na wartość ,,dzalam”, co pozwala autorowi zagrożenia ustalić, ilu użytkowników wpadło w jego pułapkę. Zagrożenie wykryte przez ESET, poza podmianą numeru konta w schowku, potrafi zmienić również adres bitcoin.

- Zainstalowanie złośliwej aplikacji na swoim komputerze może mieć bardzo poważne konsekwencje. Robiąc przelewy, np. by spłacić ratę kredytu hipotecznego lub opłacić rachunek za prąd, w pewnym momencie może się okazać, że zalegamy z płatnościami. Najlepiej robić przelewy, korzystając ze zdefiniowanych odbiorców, a gdy kopiujemy numer konta do formularza przelewu, warto dwa razy sprawdzić, czy numer rachunku odbiorcy się zgadza – mówi Kamil Sadkowski, analityk zagrożeń ESET.

Przed zagrożeniem chronią m.in. programy antywirusowe ESET. Należy jednak zachować ostrożność i zawsze sprawdzać numer rachunku bankowego, jaki skopiowaliśmy do formularza zlecenia przelewu online, zanim ostatecznie go zaakceptujemy.

Marcin Mazur

Marcin Mazur
senior PR officer

Masz pytania?
Skontaktuj się ze mną:
mazur.m@dagma.pl
32 793 12 48

Podobne wpisy:

Polecane wydarzenia: