Еще один банкер атакует бразильских пользователей - «Новости»

Специалисты компании «Доктор Веб» рассказали о новом банковском трояне, который маскируется под Adobe Reader и ориентирован на клиентов бразильских кредитных организаций, использующих Windows.

Малварь получила идентификатор Trojan.PWS.Banker1.28321 и, как уже было сказано выше, распространяется под видом приложения Adobe Reader, предназначенного для просмотра документов в формате PDF. При запуске троян демонстрирует окно с изображением названия этой программы.

Проникнув в систему, малварь пытается определить, не запущена ли она в виртуальной среде, а при обнаружении виртуальной машины завершает свою работу. Также банкер отслеживает локальные языковые настройки Windows — если язык системы отличается от португальского, он не выполняет никаких действий.

Модуль загрузчика реализован в виде сценария на языке VBscript, в то время как сам троян написан на .NET. Скрипт-загрузчик запускается на выполнение с помощью стандартного COM-объекта MSScriptControl.ScriptControl. Он соединяется с управляющим сервером и скачивает с него два архива ZIP, в одном из которых хранится обфусцированная динамическая библиотека, созданная с использованием среды разработки Delphi. В этой библиотеке и сосредоточены основные функции вредоносной программы.

Когда пользователи открывают в окне браузера сайты интернет-банков ряда бразильских финансовых организаций, малварь незаметно подменяет страницу, показывая жертве поддельную форму для ввода логина и пароля, а в некоторых случаях — просит указать проверочный код авторизации из полученного от банка СМС-сообщения. Все собранную  информацию троян передает своим операторам.

Подобную схему с подменой содержимого просматриваемых пользователем веб-страниц систем «банк-клиент» используют многие банкеры. Зачастую они угрожают клиентам кредитных организаций не только в Бразилии, но и по всему миру. За последний месяц специалисты «Доктор Веб» выявили более 340 уникальных образцов данного трояна, а также обнаружили 129 доменов и IP-адресов принадлежащих злоумышленникам интернет-ресурсов, с которых вредонос загружает содержащие вредоносную библиотеку архивы. Эксперты предупреждают, что все это свидетельствует о широком распространении Trojan.PWS.Banker1.28321.