Nový trend ve vývoji bankovního malware v roce 2020

Došlo k citelnému poklesu klasického bankovního malware, který napadal koncová zařízení uživatelů.

Drtivá většina útoků je letos realizována prostřednictvím phishing e-mailů, které obsahují odkaz vedoucí na zpravidla hacknutý web s certifikátem, na kterém je umístěna kopie stránek internetového bankovnictví, takže je celkem jedno, z jakého zařízení klient přistupuje a jaký na něm běží operační systém.

Případně se v e-mailu nachází příloha anebo odkaz na stažení přílohy, který vede do cloudu. To, že odkaz není uveden přímo v e-mailu, ale až v dokumentu, který je uložen v cloudu, je proto, aby nástroje vyhodnocující závadnost odkazu, vyhodnotily tento odkaz za důvěryhodný.

A oni jej jako důvěryhodný skutečně vyhodnotí, protože vede do cloudu Microsoftu anebo Google, a umožní tak příjemci e-mailu na odkaz kliknout a dokument stáhnout a otevřít. Odkaz, který se nachází ve staženém dokumentu, však již nekontrolují.

To, že nejsou zakládány nové domény, ale jsou zneužívány spíše již domény existující, je dáno tím, že nově založené domény se monitorují a kontroluje se, jaký je na nich obsah a jaká komunikace na nich probíhá.

Podezřelé domény pak bývají záhy zablokovány, což není v zájmu útočníka, který potřebuje, aby doména minimálně několik dní byla plně funkční. Již existující domény s určitou historií není dost dobře možné zablokovat, protože by tím mohla vzniknout značná škoda jejich skutečnému vlastníkovi.

Za tímto účelem jsou napadány zpravidla špatně zabezpečené weby s redakčním systém WordPress, kdy útočník využívá zranitelnosti v nějaké komponentě, typicky pluginu, jehož přítomnost je schopen zjistit plošným skenem.

Následně si zajistí přístup na server, kde vytváří novou složku a do ní nahrává kopii webu internetového bankovnictví a php skript, kterým zpracovává zadané údaje a využívá i dostupné MySQL databáze.

V rámci těchto phishingových kampaní, které probíhají prakticky po celý rok, je na větší množství e-mailových adres je rozeslána zpráva, která se tváří jako zpráva od banky, nicméně adresa odesílatele je zcela jiná.

Nezapomínejme, že v poli From může být uvedeno prakticky cokoliv. E-mail je poměrně krátký, v úvodu se nachází obecné oslovení. A samotný e-mail neobsahuje téměř žádnou chybu.

Odkaz v e-mailu vede zpravidla na web nemající žádnou souvislost s oficiální adresou internetového bankovnictví dané banky. Lze se jen domnívat, že tyto domény jsou hacknuty jinou organizovanou skupinou a následně nabídnuty k prodeji na darkwebu.

V některých případech dokonce sám prohlížeč označí stránku s falešným internetovým bankovnictvím jako nebezpečnou. Na stránce jsou pak požadovány přihlašovací údaje do IB včetně druhého faktoru, případně údaje uvedené na platební kartě. Cíl útočníka je pořád stejný, převést peníze na účet bílého koně anebo získat údaje o kartě a použít je pak platbě.

V druhé polovině tohoto roku jsme zaznamenali, že se podstatně zvýšila rychlost reakce útočníka na zadané přihlašovací údaje. V prvopočátku bylo nutné se přihlašovat jen v určitou hodinu, kdy byl útočník nejspíš vzhůru, a i v tomto případě trvalo několik dlouhých minut, než útočník zadané údaje, nejspíš ručně, přepsal do skutečného internetového bankovnictví na stránkách banky.

Od druhé poloviny roku dochází k přepsání přihlašovacích údajů v podstatě okamžitě, takže máme důvod se domnívat, že útočník svoje akce částečně anebo i plně automatizoval, což se ale tak nějak očekávalo již poměrně dlouho dobu, a bylo jen otázkou času, kdy k tomu dojde.

Rovněž se ve větší míře setkáváme s vishingem, ke kterému v minulých letech prakticky vůbec nedocházelo, nebereme-li v úvahu ojedinělé případy, z nichž jeden již před cca 10 lety popsal ve svém příspěvku Viktor Balej.

Odhadujeme, že v rámci jedné vlny může být rozesláno až sto tisíc takových e-mailů. Dle Petry Dvořákové ze společnosti Seznam bylo např. jen jejich systémem detekováno v rámci jedné kampaně, která probíhala v srpnu tohoto roku, 58 500 e-mailů, které byly rovnou zahozeny (42 200) anebo označeny jako spam (16 300).

Nakažených jsou odhadem desítky klientů. Potenciální škoda, která by mohla vzniknout se tak může pohybovat v řádu desítek miliónů, nicméně reálná škoda díky implementovaným opatřením z minulých let pak v řádů stovek tisíc korun.

Vzhledem ke způsobu provedení, formě, obsahu, použité technologii, se jeví, že za útokem stojí jedna a tatáž organizovaná skupina, která operuje na našem území, resp. se zaměřila na klienty českých bank. Dle Roberta Malého je třeba uvést, že situace ve světě je pak zcela odlišná.

Zdroj: Informace uvedené v tomto článku vychází z vlastního výzkumu v této oblasti a z tiskových zpráv bank.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Nový trend ve vývoji bankovního malware v roce 2020” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: