Эксперты международной антивирусной компании ESET обнаружили банковский троян, нацеленный на пользователей Бразилии. Особенностью данной угрозы стало использование в процессе кибератаки уязвимости правительственного почтового сервера.
Для похищения конфиденциальной информации угроза устанавливала специальное расширение для браузера Google Chrome. Это расширение позволяло злоумышленникам перехватывать аутентификационные данные, необходимые для входа в систему онлайн-банкинга. Стоит отметить, что в Бразилии киберпреступники довольно часто используют банковское вредоносное ПО, получая при этом значительную прибыль.
Антивирусные решения компании ESET детектируют этот вредоносный код как MSIL/Spy.Banker.AU. Угроза распространялась через специальную спам-кампанию. Главным звеном в такой схеме является дроппер, который отвечает за установку необходимых динамических DLL-библиотек и JavaScript-объектов на скомпрометированном компьютере.
После установки в Google Chrome специального расширения, оно начинало мониторить все посещаемые пользователем сайты, стремясь отследить веб-ресурсы бразильских финансовых учреждений. Как только пользователь входил в учетную запись на одном из таких ресурсов, его аутентификационные данные моментально отправлялись на сервер злоумышленников. Для отправки был выбран необычный способ – киберпреступники использовали уязвимость в конфигурации одного из серверов, принадлежащих бразильскому правительству.
Уязвимость в настройках сервера позволила хакерам использовать учетную запись gov.br электронной почты для перенаправления с него писем на два разных аккаунта e-mail, принадлежавших одному из наиболее часто используемых почтовых сервисов.
Через аккаунт gov.br данный плагин отправлял злоумышленникам два письма: первое сигнализировало о новом заражении, а второе сообщало об авторизации пользователя в системе онлайн-банкинга. Вредоносные скрипты содержали целый список различных банковских доменов, и, в случае посещения пользователем одного из них, необходимые для аутентификации данные сохранялись и отправлялись на электронный адрес злоумышленников.
Благодаря совместной работе экспертов ESET и правоохранительных органов Бразилии, участвовавшие в кибератаке аккаунты электронной почты были блокированы, а уязвимость сервера, которая использовалась злоумышленниками для получения аккаунта gov.br, была закрыта.

О КОМПАНИИ ESET

Компания ESET — ведущий международный разработчик антивирусного ПО и эксперт в области защиты от киберпреступности и компьютерных угроз — была основана в 1992 году. Штаб-квартиры ESET находятся в Братиславе (Словакия) и в Сан-Диего (США). Продукты и решения ESET NOD32 представлены более чем в 180 странах мира. Российское представительство ESET открылось в январе 2005 года и сегодня является одним из двух стратегически важных представительств компании в мире. ESET является пионером в области создания эвристических методов обнаружения угроз, которые позволяют детектировать и обезвреживать как известные, так и новые вредоносные программы. Антивирусные решения ESET, выпускаемые под брендом ESET NOD32, удостоились рекордного количества наград VB100, выданных по результатам тестирований авторитетного британского журнала Virus Bulletin. Также продукты ESET NOD32 обладают наибольшим количеством высших наград ADVANCED+ и ADVANCED австрийской лаборатории Андреаса Клименти AV-Comparatives. Решения ESET сертифицированы Федеральной службой по техническому и экспортному контролю (ФСТЭК) России и могут быть использованы для защиты информационных систем обработки персональных данных до класса К1 включительно.
Официальный сайт: www.esetnod32.ru.