Specjaliści z Doctor Web ostrzegają przed trojanami z rodziny BackDoor.Caphaw, które wykradają m.in. hasła do logowania w systemach bankowości elektronicznej. W celu zainstalowania złośliwego oprogramowania na komputerach, cyberprzestępcy posłużyli się wiadomościami wysyłanymi przez komunikator internetowy Skype.

Trojan BackDoor.Caphaw – podstawowe informacje

BackDoor.Caphaw to rodzina trojanów bankowych. Przejmują one funkcje różnych aplikacji, w tym przeglądarek i systemów bankowości elektronicznej, umożliwiając cyberprzestępcom uzyskanie dostępu do wszystkich informacji wprowadzanych przez użytkownika, w tym do loginów i haseł.

Kanały i sposoby dystrybucji

Infekcje komputerów trojanem BackDoor.Caphaw odnotowano już w ubiegłym roku. Kolejne przypadki dystrybucji BackDoor.Caphaw z zastosowaniem masowej wysyłki wiadomości na Skype zarejestrowano w październiku tego roku, jednak największą skalę przybrały w okresie od 5 do 14 listopada. Do rozprzestrzeniania trojanów przestępcy wykorzystali wiadomości phishingowe, które swoją budzącą zaufanie formą mają zachęcić użytkowników do otwarcia załączonego szkodliwego pliku. W przypadku ostatnich infekcji, wiadomości te zawierały link do pliku o nazwie invoice_ XXXXX.pdf.exe.zip (gdzie XXXXX to losowy zestaw liczb). Do masowej dystrybucji trojanów bankowych wykorzystywane były luki w zabezpieczeniach Skype oraz samokopiowanie na dyski wymienne i sieciowe.

Sposób działania

Po instalacji w systemie operacyjnym, złośliwe oprogramowanie zapisuje w folderze aplikacji swoją kopię w postaci pliku o dowolnej nazwie i modyfikuje klucz rejestru systemowego odpowiedzialnego za automatyczne uruchamianie programów. Następnie BackDoor.Caphaw próbuje przeniknąć do uruchomionych programów i nawiązuje połączenie z serwerem cyberprzestępców. Równocześnie, monitoruje on aktywność użytkownika, śledząc wyniki jego działań. Po wykryciu próby połączenia się z systemami bankowości elektronicznej, jest w stanie przechwycić wprowadzane w nich dane.

Kolejna funkcjonalność trojana to zdolność do zapisu strumienia wideo na zainfekowanym komputerze i wysyłania go do serwera cyberprzestępców w postaci archiwum RAR. Poza tym BackDoor.Caphaw potrafi zdalnie uruchamiać dodatkowe moduły, które realizują takie funkcje jak uruchomienie serwera VNC czy przechwytywanie i przekazywanie przestępcom haseł do różnych programów, takich jak np. klient FTP. Potrafi on także ingerować w główny sektor startowy (MBR – Master Boot Record) dysku twardego i dystrybuować do użytkowników Skype’a linki prowadzące do złośliwego oprogramowania.

Jak się bronić?

Aby zabezpieczyć się przed takimi zagrożeniami jak BackDoor.Caphaw, warto odpowiednio skonfigurować program Skype, tak, aby zablokować otrzymywanie plików i wiadomości od nieznajomych. Ponadto nie należy pobierać nieznanych plików, nawet, jeżeli pochodzą od znajomych, ponieważ ich komputery mogą być już zainfekowane tym rodzajem złośliwego oprogramowania.

Antywirus Dr.Web wykrywa i unieszkodliwia BackDoor.Caphaw. Ofiarom ataku specjaliści z Doctor Web polecają uruchomić komputer w trybie awaryjnym i wykonać jego pełne skanowanie przy użyciu bezpłatnego narzędzia Dr.Web CureIt! lub użyć dysku ratunkowego Dr.Web LiveCD. Po wykonaniu tych czynności warto również zmienić hasła do logowania w bankowości elektronicznej.

Źródło: Doctor Web