Čo sa skrýva v prílohe podvodných e-mailov?

Vlna podvodných e-mailov, ktorá sa v Českej republike v poslednej dobe objavuje v pravidelných intervaloch, si vyžiadala pozornosť médií aj bežných užívateľov. K zvýšenej pozornosti pomohla nielen masívnosť kampane, ale aj miera dopadu po nakazení. Na vytvorení účinnej ochrany a obrany užívateľov, ktorý priložený súbor v mailoch otvorili, majú záujem hlavne antivírové spoločnosti, ktoré postupne vytvárajú dôslednú analýzu priložených vírov, ktoré sa v týchto mailoch nachádzajú a snažia sa tak ochrániť užívateľov.

Po rozšifrovaní priložených súborov prišli odborníci zo spoločnosti Avast na to, že útok je cielený na užívateľov štyroch českých bánk: Česká spořitelna, ČSOB, Fio a Era. Samotné ukradnutie osobných údajov nakazených užívateľov potom prebieha vložením škodlivého kódu do oficiálnych stránok bánk. Stiahnutie konfiguračných súborov a ďalšia komunikácia potom prebieha cez C&C servere (stroje na ovládanie botnetov). V závislosti od navštívenej banky sa stiahnu ďalšie skripty, ktoré nabádajú na stiahnutie rôznych verzií aplikácie OPTdirekt. Zaujímavé je, že napriek tomu, že si užívateľ môže vybrať z verzie pre rôzne operačné systémy (Android, iPhone, Blackberry…) iba verzia pre Android vedie k stiahnutiu škodlivej aplikácie do telefónu. Útočník tak získa prístup k autentizačnému rozhraniu pre jednotlivé banky. Podľa analýzy vloženého kódu do stránok banky analytici zistili, že komentár ku kódu je napísaný rusky, SMS správy z infikovaného telefónu sa zasielajú na číslo registrované v južnej časti Ruska, vírus pomerne šikovne skrýva nelegálne transakcie a stav účtu nahradením zdrojového kódu webovej stránky. Útočníci sa v prvej fáze podvodu zameriavali na klientov so stavom účtu vyšším ako 70 000Kč (neskôr to zakomentovali a zmenili na všetkých klientov). Viac podrobných informácií k tejto analýze od odborníkov zo spoločnosti Avast nájdete na ich blogu.

Ani ESET nezaspal na vavrínoch a trojana, ktorý sa v spamových kampaniach vyskytuje, nazval „Elenoocka“. Okrem toho, že produkty ESET malware z poslednej spamovej vlny (z 15. júla) detekujú priložený malware v mailoch ako mutáciu Elenoocky, prispeli aj k zobrazeniu rozšírenia tohto trojana na mape sveta.

elenoocka

Bohužiaľ, v tomto zobrazení zo 17. tohto mesiaca je jasné, že tento malware je zameraný priamo na Českú republiku. Nie menej zaujímavé je zobrazenie nárastu výskytu tejto hrozby za posledný mesiac. Nárast je zaznamenaný v dňoch 24. júna, 30. júna a 15. júla čo koreluje aj s upozorneniami, ktoré vydal Národný bezpečnostný tým CSIRT.CZ v sekcii „Aktuálne z bezpečnosti“.

elenoo

Prípady kedy došlo k ukradnutiu veľkého obnosu peňazí sa ako následok tejto masívnej kampane už niekoľko krát objavili. Užívatelia by mali byť opatrný a obdobné maily neotvárať. Ani exekútorský úrad, ani banky nezasielajú takéto upozornenia e-mailom.

Autor:

Zanechte komentář