Антивирусная компания Trend Micro обнаружила банковский троян Emotet, который использует новый способ получения учётных данных к финансовым сайтам.

000

Стандартные банковские трояны извлекают конфиденциальную информацию с помощью фишинга или инъекций в поля форм на финансовых сайтах после того, как пользователь там авторизовался. Жертва думает, что вводит информацию для банковского перевода по нужному адресу, а в реальности совершается другая транзакция.

Emotet действует иначе. Он извлекает учётные данные непосредственно из HTTPS-трафика, с помощью встроенного снифера. Тот постоянно находится в памяти и отслеживает посещённые URL. Как только есть совпадение с финансовым ресурсом — начинается пакетный перехват по сетевым интерфейсам PR_OpenTcpSocket , PR_Write, PR_Close, PR_GetNameForIndentity, Closesocket, Connect,
Send и WsaSend.

Такой метод должен быть менее заметен для жертвы, поскольку она работает с оригинальным сайтом и ей не подкладывают фишинговые формы в браузер.

Emotet сохраняет найденную информацию в системный реестр Windows в зашифрованном виде, вероятно, чтобы не создавать новых файлов.

Компания Trend Micro не разобралась, как Emotet отправляет «хозяину» собранные данные и есть ли вообще такая функциональность. Поэтому трояну присвоен низкий уровень опасности (пока).



3 комментария

  1. 11.07.2014 at 07:33

    Помню я размышлял над тем, как прога может получить plain text из HTTPS траффика, находясь на компьютере жертвы. И в итоге получилось три способа — 1) MITM, только локальный, 2) Через LD_PRELOAD, 3) Замена либ (например openssl) на свои модификации. И вот у меня вопрос, этот троян получает дамп шифрованного траффика, что он потом с ним делает ? Расшифровать ведь без ключа нельзя. Может он сессионные и другие ключи из памяти вытягивает ? В чем его смысл? В моих способах нету перехвата пакетов, ну кроме первого.

Оставить мнение