11. 12. 2013

Od poloviny srpna se objevuje phishingová kampaň zacílená na on-line uživatele bankovnictví, šířící malware Win32/Spy.Hesperbot v České republice. Kampaň se postupně rozšířila i do Turecka, Portugalska a Velké Británie. V listopadu byly objeveny nové verze malware zaměřené i na Německo a Austrálii. Účelem malwaru je získat přihlašovací údaje poskytující přístup k bankovnímu účtu oběti a přimět ji, nainstalovat modul tohoto malwaru do svého mobilního telefonu, který bude odesílat ověřovací MTAN kód platebních transakcí útočníkům.

Hackeři používají pro šíření malware Hesperbot velmi důvěryhodně vyhlížející phishingové zprávy. Ty jsou obětem zasílány z e-mailových adres tvářících se, že patří oficiálním organizacím a lákají oběti k otevření souboru se škodlivým obsahem. V České republice je stále aktivní phishingová kampaň založená na podvodných e-mailech České pošty, vypadajících jako informace o sledování poštovních zásilek. E-maily mají jako odesílatele uvedenu adresu noreply@xxx, kde za xxx útočníci postupně dosazují některou z podvodných domén, jako např. ceskaposta.net, ceskaposta.info, cpost.net, cpost.info …, čehož si mnoho obětí nevšimne. Odkaz v těle zprávy se odvolává na legitimní doménu ceskaposta.cz, směřuje však na podvodnou stránku ceskaposta.net. K e mailové zprávě je přiložen škodlivý spustitelný soubor „nějaké_jméno.pdf.exe“, který obsahuje bankovní trojan Win32/Spy.Hesperbot.

Charakteristika zranitelnosti

Win32/Spy.Hesperbot je velmi silný bankovní trojan, který umožňuje zaznamenání stisknutých kláves (umožňuje zachycení uživatelského jména a hesla), vytváření snímků obrazovky (útočník může kontrolovat zobrazený zůstatek na účtu), nahrávání videa z webkamery a nastavení vzdáleného proxy serveru. Obsahuje také některé pokročilejší škodlivé funkce, jako je vytvoření skrytého VNC serveru (útočník může vzdáleně ovládat napadený počítač), odposlech síťového provozu (kontrola odeslaných a přijatých dat) a umožňuje HTML injection (útočník vloží zranitelnost do webové aplikace a aplikuje svůj vlastní obsah na stránce). Konfigurační soubor malware Hesperbot určuje, které adresy URL by měl ignorovat a které HTTPS POST požadavky bude zachytávat s úmyslem získat on-line bankovní přihlašovací údaje oběti.

Adresy URL bank, které by měl malware zachytávat a provádět na nich škodlivou činnost v případě České republiky (zdroj Eset):

Mobilní modul malware Hesperbot nainstalovaný do mobilního telefonu oběti slouží k tomu, aby obešel autentizaci bankovní operace pomocí MTAN (Mobile transakce Authentication Number). Příchozí autentizační SMS zpráva je pak přeposlána na útočníkovo telefonní číslo. Útočník tak získá autentizační kód nezbytný pro provedení bankovní transakce u „uneseného“ bankovního účtu. Mobilní modul také umožňuje útočníkovi kontrolovat služby na dálku přes SMS příkazy. Malware byl nalezen na mobilních operačních systémech Symbian, Blackberry nebo Android.

Postižené systémy

  • MS Windows x86 a x64
  • Symbian
  • Blackberry
  • Android

Dopad zranitelnosti

Umožní útočníkům získat přihlašovací údaje, které jim zajistí přístup k bankovnímu účtu oběti a ke zprávám SMS, s pomocí kterých potvrzuje platby. Následně odcizí z účtu oběti finanční prostředky.

Řešení

Jak rozeznat phishing a jak se proti němu bránit jsme uvedli již dříve, v článku Phishing - stále aktuální hrozba. Zde je stručný souhrn nejdůležitějších bezpečnostních zásad:

  • Doručené podezřelé e-maily ignorujte, v těchto e-mailech v žádném případě neklikejte na žádné odkazy ani obrázky.
  • Adresu www pro vaše internetové bankovnictví zadávejte ručně, přímo do adresního řádku internetového prohlížeče.
  • Pravidelně aktualizujte internetový prohlížeč, antivirový program a e-mailového klienta. Ve většině případů Vás budou informovat, že se jedná o phishing.
  • Na možné zneužití může upozorňovat také adresní řádek (tam, kde zadáváte webovou adresu). Pokud neobsahuje obvyklou webovou adresu vaší banky, je to známka, že může jít o podvodnou webovou stránku.
  • Sledujte zelený certifikát zabezpečení vaší banky v adresním řádku prohlížeče (zeleně podbarvený řádek nebo zámeček), který ověřuje pravost webu.
  • Při přihlašování, pokud je to možné, používejte dvou faktorovou autentizaci. Při autorizaci transakcí pomocí autorizačních SMS věnujte pozornost celému textu autorizační SMS, kterou obdržíte od banky.
  • Aktivujte si anti-phishingovou technologii v prohlížeči.
  • Můžete využívat i doplňky prohlížečů, např. NetCraft, antivirové moduly, PhishPatrol, atd.
  • V případě pochybností si obsah podezřelého e-mailu ověřte telefonicky v zákaznickém centru příslušné instituce.

Odkazy

http://www.welivesecurity.com/2013/09/04/hesperbot-a-new-advanced-banking-trojan-in-the-wild/
http://www.welivesecurity.com/wp-content/uploads/2013/09/Hesperbot_Whitepaper.pdf
http://www.govcert.cz/cs/informacni-servis/zranitelnosti/phishing---stale-aktualni-hrozba/