Skip to main content

ESET avslöjar riktad attack mot europeiska och ryska banker

Pressmeddelande   •   Dec 21, 2012 11:09 CET

ESET har upptäckt Linux/Chapro.A – en skadlig så kallad Apachemodul som injicerar webbsidor med skadlig kod via en infekterad webbserver. Även om modulen i sig kan hantera alla typer av innehåll, så installerar den upptäckta versionen en variant av Win32/Zbot som är designad för att stjäla bankinformation från infekterade system. 

Denna specifika version av Win32/Zbot riktar sig mot europeiska och ryska banker. Apache-servern är världens mest populära programvara för HTTP-servrar och används av mer än hälften av alla aktiva webbsidor globalt.

–  Attackerna sprider sig över tre länder och riktar in sig på användare i ett fjärde land, det gör det väldigt svårt att utreda och stoppa dem, säger Anders Nilsson, säkerhetsexpert på Eurosecure, ESET:s nordiska generalagent. Tyvärr har många typer av attacker som börjat i öst nått oss här i Sverige efter ett tag, så det finns anledning för svenskar att vara vaksamma för oväntad aktivitet från Internetbanken även efter inloggning.

När användaren har loggat in på sitt konto kommer den skadliga koden att öppna ett popup-fönster som ber om CVV-koden från användarens bankkort. Därefter kommer användar­informationen tillsammans med CVV-uppgifterna att skickas till en botnätsoperatör. Även om ESET:s researchteam inte har sett några andra installationer från Linux/Chapro.A så har man sett hur tusentals användare har hunnit besöka målsidan (Sweet Orange) innan den blockerades genom ESET:s produkter.

–  Det här sortens attack är besvärlig i och med att den ger sig in i inloggningsprocessen på ett sätt som förvirrar användaren, säger Anders Nilsson. För den som redan är inloggad på banksidan är risken stor att man inte inser att något är skumt.

Den skadliga Apachemodulen har ett par intressanta egenskaper som ska minska risken att den upptäcks av systemadministratörer. Hålet blockerades först av ESET genom generisk detektion innan länken lades till på URL-svartlistan. Vid analysen styrdes servern via Tyskland, men har nyligen gått offline.

–  Utifrån ESET:s analys pekar hotet från Linux/Chapro.A på en så kallad “Sweet Orange”, vilket är en målsida som hålet kan utnyttja, berättar Anders Nilsson. Vid analysen sköttes denna via Litauen och försökte utnyttja ett flertal sårbarheter i moderna webbläsare och plugins. ESET:s research visade sedan att slutmålet för attacken var att installera en version av Win32/Zbot som också är känd som ZeuS. Under många år figurerade ZeuS som en metod för att stjäla bankrelaterad information.

Kontakt

Anders Nilsson, säkerhetsexpert Eurosecure

E-post: anders@eurosecure.com

Telefon: 0303-20 78 78

Mobil: 0706-11 10 52


Om ESET

ESET grundades 1992 och är en global leverantör av säkerhetslösningar för både hem och arbetsplats. ESET NOD32 Antivirus är branschledande inom proaktiv detektering av skadlig kod och håller världsrekordet i antal utmärkelser från Virus Bulletin (“VB100-awards“). ESET:s mjukvaror har aldrig har missat ett enda in-the-wild-virus sedan testerna inleddes 1998.

ESET har sitt högkvarter i Bratislava, Slovakien och kontor i San Diego, Buenos Aires, Prag samt ett omfattande partnernätverk i 160 länder. Under 2008 öppnade ESET ett nytt forskningscenter i Krakow, Polen. ESET har rankats som ett av de snabbast växande teknikföretagen i EMEA-regionen av Deloittes Technology Fast 500.


Om Eurosecure

Eurosecure har ensamrätt på distributionen av ESET:s säkerhetsprodukter i Sverige, Danmark, Norge, Finland, Island, Grönland och på Färöarna. Företaget är en del av Scandinavian Security Service AB.

Kommentarer (0)

Lägg till kommentar

Kommentera

Genom att skicka din kommentar accepterar du att dina personuppgifter behandlas i enlighet med Mynewsdesks Integritetspolicy.