 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
25 апреля, четверг, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Обновленный зловред снабжен веб-инжектами не только для банков, но также для сайта, торгующего биткойнами.
Исследователи из IBM X-Force проанализировали новейшие атаки банковского трояна Trickbot на клиентов онлайн-сервиса, позволяющего покупать биткойны и расплачиваться за покупку кредитной картой.
Trickbot появился на интернет-арене в 2016 году. Список его мишеней вначале включал лишь австралийские банки, однако зловред быстро эволюционировал и вскоре обрел также веб-инжекты для банков Новой Зеландии, Великобритании, Германии, Канады, а к середине прошлого года — и для финансовых институтов США. Примерно тогда же исследователи из Forcepoint впервые обнаружили распространявшийся в спаме вариант Trickbot, который, помимо банков, был нацелен на криптоообменник Coinbase.
В IBM давно наблюдают развитие этого зловреда и тоже зафиксировали ряд атак на некий криптосервис — его название эксперты не указывают. В отчете исследовательского подразделения X-Force сказано, что при покупке биткойнов посетитель этого сервиса указывает адрес своего кошелька и искомую сумму, после чего его перенаправляют в другой домен для подтверждения покупки и оплаты. Здесь пользователь заполняет другую форму, вводя персональную информацию и данные кредитной карты.
Схема атаки обновленного Trickbot с целью кражи криптовалюты, по словам экспертов, предусматривает применение веб-инжектов и на первом, и на втором сайте. В отличие от многих банкеров Trickbot не хранит внедряемый код в конфигурационном файле. Модификация целевой страницы, открываемой в браузере жертвы, производится в ходе обмена троянской программы с C&C-сервером, что позволяет его операторам видоизменять веб-инжект в реальном времени, не прибегая к обновлению конфигурации резидентного зловреда.
В результате модификации веб-формы, заполняемой жертвой при оформлении покупки, все введенные ею данные отправляются злоумышленникам, и те решают, стоит ли продолжать мошенническую транзакцию. Веб-инъекция при переходе жертвы на платежный сайт позволяет им угнать покупку — получить оплаченные жертвой биткойны на свой кошелек.
Исследователи также выяснили, что после ввода данных кредитной карты платежный сервис, атакуемый Trickbot, просит покупателя предоставить номер телефона, адрес электронной почты, селфи-фото с кредитной картой и фотоснимок удостоверения личности. Однако все эти меры защиты от мошенничества призваны подтвердить личность плательщика, а не права собственности на кошелек, поэтому злоумышленников такая проверка никоим образом не тревожит. Они уже подменили адрес кошелька, он принят и больше не отображается жертве.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
