Специалисты компании «Доктор Веб» рассказали о банковском трояне Trojan.PWS.Sphinx.2 (далее просто Sphinx.2), который создан на базе исходных кодов известного банкера Zeus. Исследователи пишут, что основное предназначение новой малвари — это выполнение веб-инжектов.
Фактически вредонос встраивает в просматриваемые пользователем страницы постороннее содержимое, к примеру, поддельные формы для ввода логина и пароля, информация из которых затем передается злоумышленникам. При использовании такой техники жертвы редко замечают подмену, ведь URL ресурса в адресной строке и оформление самого сайта остаются прежними, поддельная форма или текст добавляются на страницу непосредственно на зараженном компьютере.
Данные для выполнения веб-инжектов малварь получает с управляющего сервера, что позволяет ей обворовывать клиентов множества банков и других финансовых организаций. Так, если пострадавший от трояна пользователь зайдет на банковский сайт, адрес которого имеется в конфигурации троянца, тот встроит в веб-страницу заранее сформированный злоумышленниками контент. На иллюстрации показан пример кода, который Sphinx.2 встраивает в страницы сайта bankofamerica.com:
На зараженной машине троян встраивается в работающий процесс программы «Проводник» (explorer.exe) и расшифровывает конфигурационный блок, в котором хранятся адрес управляющего сервера и ключ для шифрования принимаемых и отправляемых данных.
Специалисты пишут, что Sphinx.2 имеет модульную архитектуру, то есть может скачивать с сервера злоумышленников дополнительные плагины. Два из используемых банкером модулей предназначены для выполнения веб-инжектов в 32- и 64-разрядных версиях Windows, еще два — для запуска на зараженной машине VNC-сервера, с помощью которого операторы вредоноса могут подключаться к зараженному компьютеру. Также малварь загружает и сохраняет на инфицированном ПК набор утилит для установки корневого цифрового сертификата — киберпреступники используют его для организации атак man-in-the-middle. Кроме того, в составе трояна имеется граббер: функциональный модуль, перехватывающий и передающий на удаленный сервер информацию, которую пользователь вводит в формы на различных сайтах.
Отдельно исследователи отмечают способ автоматического запуска трояна на зараженной машине. Для этого используется сценарий на языке PHP и приложение-интерпретатор. Сценарий запускается с помощью ярлыка, который банкер помещает в папку автозагрузки. Всю необходимую для своей работы информацию троян хранит в зашифрованном виде в системном реестре Windows. Дополнительные модули сохраняются в отдельном файле со случайным расширением, который так же зашифрован.
