6.9.2018 16:15 | Bezpečnosť

Nový bankový malvér: Nezastaví ho ani dvojfaktorová autentifikácia

Prvotné útoky boli lokalizované v Brazílii (ilustračná snímka).
Prvotné útoky boli lokalizované v Brazílii (ilustračná snímka). Zdroj: iStock

Falošný zamestnanec banky presvedčí obeť, aby si aktualizovala „bezpečnostný modul“.

Počítačoví experti odhalili dômyselnú útočnú kampaň, ktorej cieľom je ovládnutie internetového bankovníctva a krádež finančných prostriedkov.

Kybernetickí zločinci k tomu využili kombináciu phishingu, sociálneho inžinierstva a zopár ďalších trikov. Bližšie informácie o hrozbe zverejnil portál ZDNet.

Všetko začína nenápadným prieskumom

Škodlivý kód označený názvom „CamuBot“ sa šíri takpovediac manuálne podľa dôkladne premyslenej schémy. Útočníci totiž najprv zatelefonujú rôznym spoločnostiam, štátnym organizáciám a iným významným cieľom pod zámienkou prieskumu trhu. Otázky sa pritom týkajú finančných inštitúcií, respektíve majú odhaliť, ktorú banku daná firma využíva.

Útočník musí mať prístup do vnútornej siete.
Čítajte aj BitFi: No dobre, naša nehacknuteľná peňaženka sa dala hacknúť

Podľa počítačových expertov sa uvedená kampaň týka nemenovanej brazílskej banky. Útok preto pokračuje iba v prípade, ak má spoločnosť v tejto banke otvorený účet.

Vytipujú si správneho zamestnanca

Niekoľko dní po nenápadnom prieskume sa útočníci opäť ozvú. Tentoraz si z verejne dostupných telefónnych čísiel vyberú osobu, ktorá má s najväčšou pravdepodobnosťou oprávnenie pracovať s firemným bankovým účtom. Môže pritom ísť napríklad o finančného riaditeľa, ekonomické oddelenie a podobne.

Vytipovanej osobe následne zazvoní telefón, v ktorom sa útočník predstaví ako zamestnanec banky. Pod zámienkou kontroly bezpečnosti presvedčí nič netušiaceho používateľa, aby otvoril konkrétnu URL adresu.

Tento falošný web však zobrazí varovanie informujúce o tom, že „bezpečnostný modul“ nie je aktuálny. Operátor na telefóne preto dôrazne odporučí, aby obeť zatvorila všetky spustené programy a následne nainštalovala aktualizáciu tohto modulu s administrátorským oprávnením.

Útok prebieha pod firemnou IP adresou

V priebehu inštalácie malvéru sa spustí takzvaný SSH proxy server, vďaka ktorému bude infikovaný počítač slúžiť ako brána. Všetky požiadavky útočníkov, napríklad pokus o prihlásenie do internetového bankovníctva, prevody peňazí a podobne budú prebiehať pod firemnou IP adresou. Z pohľadu banky tak nepôjde o podozrivú aktivitu.

Priebeh inštalácie záškodníckeho „bezpečnostného modulu“. fotogaléria / 3
Priebeh inštalácie záškodníckeho „bezpečnostného modulu“. Zdroj: IBM X-Force Threat Intelligence

Následne, po úspešnej inštalácii sa otvorí falošná internetová stránka banky, ktorá obeť vyzve, aby sa prihlásila. Samozrejme, po zadaní mena a hesla sú tieto dáta okamžite odoslané útočníkom.

Porazili dvojfaktorovú autentifikáciu

Aby toho nebolo málo, kybernetických zločincov nezastaví ani dvojfaktorová autentifikácia. V tomto prípade prebieha doplnkové overovanie cez externé zariadenie pripojené k počítaču. Malvér preto nainštaluje špeciálny ovládač, ktorý umožní zachytávanie jednorazových hesiel vygenerovaných USB zariadením. Tieto reťazce napokon putujú rovno k útočníkom.

Ovládač, ktorý kradne jednorazové overovacie kódy. fotogaléria / 3
Ovládač, ktorý kradne jednorazové overovacie kódy. Zdroj: IBM X-Force Threat Intelligence

Uvedený malvér bol aktuálne odhalený len v Brazílii. Pravdou však je, že ide o prakticky dokonalú schému, ktorá sa môže časom rozšíriť po celom svete. Vďaka dômyselným trikom totiž útočníci získali nielen meno a heslo pre prístup do internetového bankovníctva, ale aj kódy pre dvojfaktorovú autentifikáciu. Navyše, podvodné transakcie boli zadané pod IP adresou samotnej firmy.

Diskusia 3 Príspevkov