Компания «Доктор Веб» предупреждает пользователей о распространении нового троянца, представляющего опасность для пользователей систем дистанционного банковского обслуживания (интернет-банкинга) в России. Троянец изменяет настройки браузеров жертвы таким образом, что в процессе работы с системой «Банк-Клиент» пользовательский трафик направляется через принадлежащий злоумышленникам сервер, что позволяет им воровать важные данные.
Вредоносная программа Trojan.Proxy.23968, образцы которой также добавлялись в вирусные базы Dr.Web под именем Trojan.Carberp.450 в конце августа 2012 года, создана злоумышленниками для установки в инфицированной системе прокси-сервера с целью перехвата конфиденциальной информации при работе с системами дистанционного банковского обслуживания нескольких российских банков.
Запустившись на компьютере жертвы, троянец изменяет параметры сетевого соединения, прописывая в них ссылку на сценарий автоматической настройки. По этой ссылке на инфицированный компьютер загружается файл, с использованием которого соединение зараженного ПК с Интернетом осуществляется через принадлежащий злоумышленникам прокси-сервер. Прокси-сервер, в свою очередь, перенаправляет жертву на поддельную страницу системы «Банк-Клиент», содержащую форму для ввода логина и пароля.
Система «Банк-Клиент» российского банка, который первым подвергся атаке, использует при соединении с пользователем защищенный протокол HTTPS. В целях маскировки сеанса связи с поддельным банковским сервером новый троянец устанавливает в систему самоподписанный цифровой сертификат. Таким образом, страница системы «Банк-Клиент», которую открывает в своем браузере жертва троянца, имеет похожий на оригинальный URL, идентичное с ним оформление, а само соединение осуществляется по зашифрованному протоколу HTTPS. В последнее время специалистами компании «Доктор Веб» были зафиксированы факты установки троянцем новых цифровых сертификатов, а в качестве целей для атак выявлено еще несколько банковских систем.
Примечательным фактом является то, что даже после полного удаления Trojan.Proxy.23968 из системы в настройках браузеров остаются внесенные троянцем изменения, поэтому пользователь может стать жертвой злоумышленников даже в том случае, если сам троянец был уничтожен антивирусным ПО.