Trojan PACCA - "kłódka" może już nie wystarczyć

[ichito]

Związek Banków Polskich ostrzega w swoim komunikacie o nowym szkodniku o nazwie PACCA (od typu pliku PAC i certyfikatu - CA). Nie pierwszy raz tak robi, ale tym razem ostrzega przed naprawdę czymś sprytniejszym, niż zazwyczaj - ten koń trojański bowiem podszywa się pod legalne szyfrowane połączenia i podmienia kłódkę przed adresem, co ma oznaczać, że połączenie jest zaufane i bezpieczne.
Fragment komunika ZBP

Rada Bankowości Elektronicznej Związku Banków Polskich ostrzega przed nową formą ataku na użytkowników komputerów z systemem Windows. Wykryte złośliwe oprogramowanie o nazwie PACCA wprowadza zmiany w ustawieniach globalnych serwera proxy oraz instaluje złośliwy certyfikat jako zaufany urząd certyfikacji. W ten sposób, cyberprzestępcy mogę przekierować dowolną stronę do swojego serwera oraz wygenerować certyfikat, który będzie uznany przez przeglądarkę jako zaufany.

Podczas korzystania z bankowości internetowej należy zwracać szczególną uwagę na certyfikat SSL, którym przedstawia się dana strona internetowa. Poniżej znajdują się przykłady, które uwidaczniają znaczne różnice pomiędzy certyfikatem hakerów a zaufanym.

W komunikacie znajdują się ilustracje wskazujące, jak rozróżnić prawidłowy certyfikat od podmienionego - przykład poniżej - oraz procedura zalecana procedura krok po kroku jak ta weryfikacja powinna wyglądać.

[Aby zobaczyć linki, zarejestruj się tutaj]

Większą i bardziej szczegółową informację przekazuje w tej sprawie Zaufana Trzecia Strona

Jak działa złośliwy program

Koń trojański dystrybuowany przez przestępców jest dość prosty w swojej konstrukcji. Po uruchomieniu na komputerze ofiary przeprowadza dwie kluczowe dla powodzenia ataku operacje. Po pierwsze instaluje skrypt PAC, odpowiadający za automatyczną konfigurację ustawień serwera proxy i dla dwóch serwerów bankowych wskazuje adres IP znajdujący się np. na Ukrainie. Klienci chcący odwiedzić witryny tych banków trafią na złośliwy serwer proxy, który pokaże im fałszywe strony wyglądające prawie identycznie jak oryginalne. Aby jednak witryny te wyglądały bardziej niewinnie, program instaluje także w zainfekowanym systemie dodatkowy certyfikat nadrzędnego urzędu certyfikacji. Dzięki temu fałszywa strona banku może pokazywać zieloną kłódkę będącą symbolem zaufanego połączenia zgodnego z wyświetlaną nazwą domeny.
(...)
Jak rozpoznać atak w trakcie jego trwania

Niestety żaden z banków nie zdecydował się na ujawnienie wyglądu komunikatów generowanych przez przestępców, więc nie mamy dla Was zrzutów ekranu. Ustaliliśmy jednak, że złośliwa strona najpierw przychwytuje login i hasło użytkownika a następnie próbuje wyłudzać kody jednorazowe wyświetlając komunikat o treści:

W trosce o Państwa dane widniejące w systemie bankowym prosimy o potwierdzenie tożsamości poprzez podanie kodu z narzędzia autoryzacyjnego. Wielokrotna próba logowania bez podania kodu będzie skutkowała blokadą dostępu do bankowości elektronicznej!

Następnie pojawia się prośba o podanie kodu jednorazowego. Gdy podejrzliwy klient poda jedną z następujących wartości:  000000, 111111, 222222, 333333, 444444, 555555, 666666, 777777, 888888, 9999999, 000000, 123456, 654321 to witryna poinformuje go, że podany token jest nieprawidłowy (komentarz w kodzie strony brzmi bad token, dont fuck with me). Następnie witryna przetrzymuje klientów wyświetlając im komunikaty o przerwie w działaniu banku (nie wspominając, że na prawdziwej stronie banku trwa właśnie zlecanie operacji, która uszczupli ich konta). W jednym ze znanych nam przypadków komunikat wyświetlony klientowi brzmiał:

Z powodu prac strona banku jest chwilowo nieczynna, przepraszamy za utrudnienia. Wracamy za 11 Godzin, 57 Minut.

Źródło

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]