IBM раскрыла банковский троян UnregStealer, нацеленный на банки Латинской Америки

IBM обнаружила банковский троян, известный как UnregStealer, который нацелен на банки в Латинской Америке, маскируясь под расширение Chrome. Старший исследователь угроз Ицхак Химино сообщил, что вредоносное ПО обманывает пользователей, заставляя их установить его, показывая поддельные предупреждения безопасности о якобы обязательном обновлении SSL-сертификата. Троян работает при непосредственном ручном контроле человеком, поэтому он почти невидим для песочниц и систем поведенческого обнаружения, которые никогда не видят, как полезная нагрузка активируется. Такой способ работы позволяет UnregStealer красть cookie сессии, пароли, одноразовые пароли и номера счетов у жертв, заходящих на целевые банковские порталы.

UnregStealer маскируется под обновление SSL-сертификата

По словам Химино, UnregStealer выманивает пользователей через вымышленные предупреждения безопасности. Судя по соглашению об именовании исполняемого файла и схеме доставки, жертвам показывают якобы предупреждение о безопасности, информирующее о том, что для их браузера требуется обязательное обновление SSL-сертификата. Сертификат полностью вымышлен, и никакой подобной необходимости для браузера не существует. Это просто убедительная легенда, чтобы заставить жертву запустить исполняемый файл.

Вредоносное ПО похищает банковские учетные данные через мониторинг сессий

Когда пользователь просматривает интернет, вредоносное ПО запускает скрипт, который проверяет, посещает ли жертва один из сайтов, перечисленных среди целевых банковских порталов. Если да, троян крадет cookie сессии для банковского веб-сайта, который посещает жертва. Каждый раз, когда выполняется клик по полю и вводится информация, вредоносное ПО перехватывает привилегированные данные, такие как пароли, одноразовые пароли и номера счетов.

Ручная работа позволяет обходить системы обнаружения

Химино пояснил, что этот троян включает реального оператора, который следит за каждой сессией жертвы в режиме реального времени и вручную нажимает «спусковой крючок». Эта разновидность делает кампанию почти невидимой для песочниц и систем поведенческого обнаружения, которые никогда не видят, как полезная нагрузка активируется. После того как информация получена, дальнейшие действия UnregStealer определяются его человеческим оператором.

IBM выявляет потенциал для расширения таргетинга

По словам Химино, банковское вредоносное ПО UnregStealer обладает возможностями и потенциалом представлять более серьезную угрозу. Наблюдаемые паттерны инфраструктуры указывают на то, что оператор имеет возможности и мотивацию расширить таргетинг за рамки того, что это расследование уже подтвердило.

FAQ

Что такое UnregStealer и как он нацеливается на жертв?

UnregStealer — это банковский троян, который нацелен на банки в Латинской Америке, маскируясь под расширение Chrome. Он обманывает пользователей, заставляя установить его через поддельные предупреждения безопасности об обязательных обновлениях SSL-сертификата, которые целиком вымышлены.

Как UnregStealer обходит системы обнаружения?

Вредоносное ПО включает реального оператора, который следит за каждой сессией жертвы в режиме реального времени и вручную нажимает «спусковой крючок». Такая ручная работа делает кампанию почти невидимой для песочниц и систем поведенческого обнаружения, которые никогда не видят, как полезная нагрузка активируется.

Какую информацию UnregStealer крадет у жертв?

UnregStealer крадет cookie сессии для банковских веб-сайтов и перехватывает привилегированную информацию, такую как пароли, одноразовые пароли и номера счетов, каждый раз, когда выполняется клик по полю и вводится информация на целевых банковских порталах.