Атака на клиентов казахстанских банков

Служба реагирования на компьютерные инциденты KZ-CERT предупреждает о распространении злоумышленниками ссылки на вредоносное программное обеспечение, которое крадет персональные данные клиента (логин/пароль интернет-банкинга).

Инцидент связан с распространением вредоносного PAC-файла для кражи персональных данных казахстанских пользователей онлайн-банкингов online.sberbank.ru, click.alfabank.ru, homebank.kz, halykbank.kz.

PAC-файлы – это javascript-файлы, с помощью которых можно назначить браузеру произвольный прокси-сервер.

Вредоносный файл может попасть на компьютер жертвы следующими способами:

  • посещение сайта по ссылке (URL),
  • скачивание через ранее установленное вредоносное программное обеспечение (Downloader),
  • через внешние носители (USB, CD/DVD).

Вредоносное ПО устанавливается в браузер и меняет конфигурации прокси в prefs.js и на самом компьютере в rundll32.exe.

Вредоносный скрипт обрабатывает запросы и перенаправляет логин/пароль интернет-банкинга на вредоносный прокси-сервер при наличии домена *bank.kz.

Если в работе онлайн-банкинга имеются недочеты, злоумышленник может также украсть cookie и session пользователя.

Пример ссылки, с помощью которой скачивается вредоносное ПО:

hxxp: //sample.info/iir6.eut

Антивирус должен предупредить вас о ненадежности или опасности интернет-ресурса.

Код скрипта:

Чтобы удостоверится в отсутствии данного вредоносного ПО у вас на компьютере проверьте наличие ссылки, как указано на рисунке в настройках по пути: Свойства браузера > Подключения > Настройка сети.

Источник: www.kz-cert.kz

Партнеры Bitcoin Perfect Money