Powrót ZeuS-a

W ostatnich dniach września klienci polskich systemów transakcyjnych po raz kolejny mogli paść ofiarą cyberprzestępców. A to wszystko za sprawą najnowszych odmian trojana ZeuS o nazwie Citadel oraz Zeus-p2p. Trojany infekują systemy Windows i przy użyciu dodatkowego wektora ataku w postaci socjotechniki starają się wyprowadzić dostępne środki z konta bankowości elektronicznej ofiary.

Infekcja

Omawianymi trojanami można się zarazić nie tylko poprzez odwiedzanie budzących wątpliwość stron internetowych, ale także przez otwarcie złośliwego załącznika przesłanego w mailu. Ponadto coraz częściej obserwowane są infekcje następujące po odwiedzeniu stron, które padły wcześniej ofiarą cyberprzestępców. W przypadku źle zabezpieczonych serwisów cyberprzestępcy mogą zaatakować je umieszczając na nich złośliwy kod, który wykonuje się w chwili odwiedzenia strony przez niczego niepodejrzewającego internautę. Już po chwili internauta jest nieszczęśliwym posiadaczem najnowszych odmian trojana ZeuS, które do chwili odwiedzenia strony bankowości elektronicznej pozostają w hibernacji.

Proces infekcji poprzez odwiedzenie ulubionej, ale źle zabezpieczonej strony internetowej bardzo dobrze zilustrowali i opisali specjaliści z zespołu CERT Polska.

Rysunek 1: Infekcja złośliwym oprogramowaniem poprzez zaatakowaną stronę internetową. Źródło: www.cert.pl

Niczego niepodejrzewający internauta odwiedzając zainfekowaną stronę [1] sprawia, że jego przeglądarka zaczyna pobierać jej treść [2] wraz ze złośliwym kodem. Powoduje to, że w rzeczywistości przeglądarka ofiary połączy się ze stroną będącą pod kontrolą cyberprzestępców [3], która przy użyciu exploit-ów rozpocznie atak na komputer internauty [4]. W przypadku, gdy któryś z exploit-ów zadziała komputer ofiary zaczyna być kontrolowany przez cyberprzestępców. W ten sposób można także stać się uczestnikiem botnet-u o czym wspominaliśmy ostatnio (http://www.dlp-expert.pl/advice/id,217/nie_dziel_sie_z_nikim_swoja_tozsamoscia.html).

Działanie

ZeuS-p2p oraz Citadel pozostają nieaktywne do momentu zalogowania się przez ofiarę w systemie transakcyjnym swojego banku. Oba trojany działają podobnie i tuż po zalogowaniu sprawdzają saldo danego konta oraz podmieniają zawartość strony serwisu banku. Treść przykładowej wiadomości przygotowanej przez cyberprzestępców wyświetlanej klientom banku mBank widoczna jest na poniższym rysunku.

Rysunek 2: Fałszywy komunikat, będący częścią ataku na klientów mBanku. Źródło: www.mbank.pl

Powyższa wiadomość nie jest napisana poprawną polszczyzną. Między innymi zamiast samogłoski „ó” używana jest litera „y”. Ponadto można zaobserwować bardzo nienaturalne odnoszenie się do klienta w pierwszej osobie liczby mnogiej. Komunikat posiada znamiona socjotechniki sugerując, że pewna kwota pieniędzy omyłkowo została przesłana na konto danego klienta i żąda się zwrotu tej kwoty. W wiadomości zawarte jest także zdanie:

„W przypadku niezwrycenia środyw pieniężnych będziemy zmuszeni przekazać sprawę do policji.” - pisownia oryginalna.

Ma ono na celu zastraszenie ofiary konsekwencjami, które może ponieść w przypadku niezwrócenia określonej kwoty, a tym samym sprawić, że ulegnie atakowi. Ponadto w celu ułatwienia dokonania przelewu na konto kontrolowane przez cyberprzestępców trojan podstawia uzupełniony formularz przelewu. Konto bankowe na które przesyłane są środki z przestępstwa zapewne należy do słupa, który dostaje określony procent od danej transakcji. Więcej na temat słupów można przeczytać w jednym z naszych blogowych wpisów

Ponownie eksperci z CERT Polska okazali się niedoścignieni w zilustrowaniu sposobu działania ataku i prostym przedstawieniu jego opisu osobom zainteresowanym bezpieczeństwem komputerowym.

„Obrazek poniżej przedstawia sposób działania mechanizmu modyfikacji treści w locie. Informacja jest przygotowywana w systemie bankowym, a następnie przesyłana szyfrowanym (zielonym) kanałem do komputera użytkownika. Tutaj – w celu umożliwienia chociażby wyświetlenia – następuje odszyfrowanie treści. Jeżeli złośliwe oprogramowanie (zielony stwór) posiada w swojej konfiguracji wpisy dotyczące danej strony banku, następuje uruchomienie mechanizmu, który przechwytuje odszyfrowaną treść i wprowadza w niej zaprogramowane wcześniej zmiany. W niektórych przypadkach zmiany te mogą prowadzić do umieszczenia w stronie systemu bankowego elementów, które są pobierane (czerwony kanał) z serwera złodzieja. Nieświadomy zagrożenia użytkownik cały czas bez (widocznych) przeszkód korzysta z bankowości elektronicznej.”

Rysunek 3: Modyfikacja w locie treści strony wyświetlanej ofierze. Źródło: www.cert.pl

Profilaktyka

Z pewnością za swoją czujność należy pochwalić mBank. Nie czekał on za długo, by rozpocząć kampanie mającą na celu poinformowanie swoich klientów o czyhających na nich niebezpieczeństwie. Do klientów mBanku szybko została skierowana wiadomość, którą możemy zobaczyć na kolejnym rysunku.

Rysunek 4: Wiadomość wysłana przez mBank do swoich klientów. Źródło: www.niebezpiecznik.pl

Piotr Konieczny z www.niebezpiecznik.pl zauważa jednak, że mBank mógł w nadesłanej wiadomości ostrzegawczej zwrócić się do swoich klientów po imieniu w celu uwiarygodnienia swojej wiadomości. Ponadto bank nie powinien też zachęcać do klikania w podstawiony w mailu odnośnik, bo uczy to złych nawyków.

Jak się chronić?

Specjaliści z mBanku przygotowali także stronę internetową informującą o działaniu trojana ZeuS oraz o możliwościach jego samodzielnego zidentyfikowania. Trojan zapisuje się do pliku i katalogu o losowo wygenerowanych nazwach znajdujących się w następujących katalogach:

Windows XP: \Documents and Settings\\Dane aplikacji\
Windows 7 oraz Vista: \Users\\AppData\Roaming\

Nazwa przykładowego pliku w którym zapisany jest trojan dla Windows XP to „uwcy.exe” natomiast dla Windows 7 to „souz.exe”.

Od siebie możemy dodać, że klienci bankowości elektronicznej powinni zawsze zachowywać czujność w stosunku do serwisu online z którego korzystają celem dokonywania transakcji pieniężnych. Każdy nowy komunikat lub prośba kierowana rzekomo od banku z którego usług korzystamy powinien wzbudzić lekki niepokój i powinna mu zostać poświęcona większa niż zwykle uwaga celem jego przeanalizowania. W przypadku jakichkolwiek wątpliwości zawsze należy skontaktować się konsultantami danego banku.

W przypadku ataków korzystających ze socjotechniki trzeba także pamiętać o podstawowych zasadach np. o tym, że bank nigdy nie prosi o wykonanie przelewów testowych ani zwrotu środków na rachunki innych klientów. Każdy tego typu komunikat powinien być znakiem, że coś się dzieje niedobrego.

Dobrą praktyką, a właściwie koniecznością jest także posiadanie w pełni zaktualizowanego oprogramowania antywirusowego. Jest ono w stanie wykryć większość złośliwego oprogramowania, a także uchronić internautę przed atakami wykonywanymi przy użyciu exploit-ów. Wyjątkiem pozostają oczywiście exploit-y korzystające z niewykrytych dotąd podatności w oprogramowaniu tzw. 0Day.

Więcej na temat zachowania bezpieczeństwa w korzystaniu z Internetu można znaleźć tutaj.

Podsumowanie

Według specjalistów z CERT Polska opisywany powyżej atak został zaobserwowany w 15 różnych systemach transakcyjnych. Jednak największym echem jeśli chodzi o profilaktykę odbiło się to ze strony mBanku co jest godne pochwały oraz naśladowania.

Ataki na klientów bankowości elektronicznej są i będą coraz skuteczniejsze, a przy tym często bardzo skomplikowane. Przed atakami używającymi socjotechniki może obronić nas tylko zdrowy rozsądek. Jednak wykrycie ataków korzystających ze znanych podatności w aplikacjach czy systemie operacyjnym umożliwiających przejęcie kontroli nad komputerem jest zdecydowanie łatwiejsze do wykrycia dzięki zastosowaniu aktualnego oprogramowania antywirusowego.

Kluczową rolę w bezpieczeństwie internautów odgrywa ich świadomość. Być może Ci spośród klientów banku, którzy padli ofiarą tego typu ataków wiedzieli o możliwości samoczynnego zainfekowania się złośliwym oprogramowaniem poprzez odwiedzenie strony zawierającej złośliwy kod (drive-by dowlnoad) byli świadomi istnienia takich mechanizmów, byliby ostrożniejsi w swoich poczynaniach w Internecie.

Źródło: Redakcja