Trojan.PWS.Ibank.752 – podstawowe informacje

Trojan.PWS.Ibank.752 należy do znanej rodziny trojanów bankowych. Ich podstawowa funkcjonalność i związane z nią zagrożenie polega na tym, że przejmując funkcje różnych aplikacji, w tym przeglądarek i systemów bankowości elektronicznej, umożliwiają one uzyskanie dostępu do wszystkich informacji wprowadzanych przez użytkownika, w szczególności do loginów i haseł. Poza narażeniem właścicieli zainfekowanych urządzeń na utratę pieniędzy czy wrażliwych danych, Trojan.PWS.Ibank.752 utrudnia również dostęp do witryn firm antywirusowych.

Do zakresu szkodliwych funkcji złośliwego oprogramowania typu Trojan.PWS.Ibank należy:

  • kradzież haseł użytkowników,

  • blokowanie dostępu do witryn firm antywirusowych,

  • uruchomienie na zainfekowanym komputerze serwera proxy i serwera VNC,

  • zniszczenie systemu operacyjnego lub obszarów dysku startowego.

Czym wyróżnia się Trojan.PWS.Ibank.752?

Z badania przeprowadzonego przez specjalistów z Doctor Web wynika, że w porównaniu z poprzednimi wersjami, nowy Trojan.PWS.Ibank.752 różni się zmodyfikowaną architekturą bota, mechanizmami komunikacji międzyprocesowej IPC i zniesionym podsystemem SOCKS5 (rodzaj protokołu pośredniczącego, wykorzystywanego w celu zabezpieczenia komunikacji). Równocześnie niezmieniony pozostał wykorzystywany przez trojana wewnętrzny mechanizm szyfrowania, rodzaj biblioteki dynamicznej, a także protokół komunikacji z serwerem zarządzającym cyberprzestępców.

Aby utrudnić wykrycie trojana, w czasie instalacji ma miejsce próba uruchomienia go w wirtualnej maszynie lub w środowisku „sandbox” – narzędziu pozwalającym na kontrolowanie pracy różnych programów. Korzystając z mechanizmów właściwych dla 32-bitowych i 64-bitowych dystrybucji Microsoft Windows, złośliwe oprogramowanie typu Trojan.PWS.Ibank.752 próbuje na różne sposoby przeniknąć do systemu operacyjnego. Główny moduł trojana umożliwia cyberprzestępcom realizację dwóch nowych komend: jedna z nich aktywuje lub deaktywuje blokadę klientów bankowości elektronicznej, druga pozwala otrzymać plik konfiguracyjny od serwera zarządzającego.

Trojan.PWS.Ibank.752 groźny dla użytkowników oprogramowania SAP

Trojan.PWS.Ibank potrafi integrować się z różnymi procesami, przy czym zaktualizowana wersja posiada dodatkową funkcjonalność, umożliwiającą sprawdzenie nazw działających rodzajów oprogramowania, m.in. klienta systemu SAP (zbioru aplikacji biznesowych automatyzujących zarządzanie przedsiębiorstwem).

Oprogramowanie to ma charakter modułowy i często jest związane z dostępem do poufnych, wrażliwych z biznesowego punktu widzenia, informacji, takich jak dane kadrowe lub księgowe.

Pierwsza wersja trojana, czyli Trojan.PWS.Ibank.690, była rozprzestrzeniana w czerwcu. Umożliwiała ona sprawdzenie dostępności oprogramowania SAP w zainfekowanym systemie.

„Wzrost zainteresowania twórców złośliwego oprogramowania systemami typu SAP i ERP powinien zwrócić uwagę ekspertów ds. bezpieczeństwa. Przy użyciu podobnych technologii do tych wyżej opisanych, cyberprzestępcy mogą próbować wykraść informacje istotne dla przedsiębiorstw, przetwarzane właśnie w tych systemach. I choć do tej pory nie odnotowano żadnego destrukcyjnego działania zagrożeń typu Trojan.PWS.Ibank na systemy SAP, ich funkcjonalności powinny zwiększyć czujność administratorów sieci firmowych, aby na czas zapobiegli wyciekowi poufnych danych.”

– powiedział Piotr Tyborowski, Doradca ds. Wsparcia Technicznego Doctor Web.

Źródło: Doctor Web