Новая сложная вредоносная кампания атакует пользователей в Швейцарии

Эксперты из Trend Micro сообщили о сложной вредоносной кампании, получившей название Emmental. Целью злоумышленников является полный контроль над банковскими счетами пользователей в Швейцарии, Швеции, Австрии и Японии. Для этого они используют различные инструменты и техники, такие как фишинговые атаки, вредоносное ПО и мошеннические DNS-серверы.

По словам экспертов, ответственность за осуществление атак несут предположительно русскоговорящие хакеры =FreeMan= и Northwinds, с 2011 года распространяющие преимущественно готовое вредоносное ПО SpyEye и Hermes. Целью злоумышленников являются клиенты банков, использующих SMS-сообщения для двухфакторной аутентификации, которым они отправляют фишинговые электронные письма якобы от имени известных ритейлеров.

Исследователи сообщили, что вредоносное ПО само по себе не инфицирует систему жертвы, а просто изменяет настройки DNS и устанавливает поддельный корневой SSL-сертификат, благодаря чему вредоносные серверы HTTPS являются доверенными по умолчанию. Таким образом, при попытке зайти на сайт банка пользователь инфицированного компьютера перенаправляется на поддельный ресурс, выглядящий точно так же.

«Это похоже на причудливую фишинговую атаку, однако злоумышленники оказались намного хитрее, - сообщили в Trend Micro. – После того, как пользователь ввел свои учетные данные, его просят установить на смартфон приложение».

Эта программа выглядит как генератор одноразовых паролей для сессии online-банкинга, однако его предназначением является перехват SMS-сообщений от банка с кодом для двухфакторной аутентификации и пересылка их злоумышленникам. С помощью приложения преступники получают полный контроль над учетной записью пользователя.

Подготовлено по материалам: www.securitylab.ru