Firma Panda Security ostrzega: dostępny w internecie plik wideo z informacją o iPhone zawiera niebezpiecznego trojana Banker.LKC, który jest elementem nowego ataku typu pharming. Trojan powoduje, że użytkownicy podczas logowania się do banku mogą zostać przekierowani na fałszywe witryny www, a ich poufne dane trafią w ręce cyberprzestępców.
Cyberprzestępcy do infekowania złośliwym oprogramowaniem chętnie wykorzystują ważne wydarzenia i ciekawe tematy. Tym razem jako przynętę wykorzystali wprowadzenie przez firmę Apple telefonu iPhone. Najnowszy przypadek wykryty przez PandaLabs – laboratorium Panda Security specjalizujące się w wykrywaniu i analizie złośliwego oprogramowania – dotyczy nowego ataku typu pharming, wykorzystującego trojana Banker.LKC. W wyniku tego ataku dane bankowe ofiar trafiają w ręce cyberprzestępców.
Pharming to zaawansowana wersja phishingu. Polega na manipulowaniu systemem DNS (Domain Name Server) poprzez konfigurację protokołu TCP/IP lub pliku hostów. Serwery DNS przechowują adresy numeryczne lub adresy IP (np. 62.14.63.187.) przypisane do każdej nazwy domeny lub adresu URL (np. www.mibanco.com). W wyniku ingerencji cyberprzestępców wpisanie przez użytkownika nazwy witryny www powoduje przekierowanie go na inny adres IP. Tam znajduje się fałszywa strona www przypominająca jedynie wyglądem oryginalną.
Pharming z iPhone – przebieg
W przypadku ataku wykrytego przez PandaLabs za manipulację systemem DNS odpowiada trojan Banker.LKC. Złośliwy kod przedostaje się do systemu pod nazwą VideoPhone[1]_exe. Po uruchomieniu pliku otwarte zostaje okno przeglądarki internetowej z wyświetloną witryną www, na której sprzedawany jest iPhone. Gdy użytkownik przegląda stronę, trojan dokonuje modyfikacji pliku hostów, przekierowując adresy URL banków i innych firm na fałszywe witryny www. Oznacza to, że podczas logowania do banku internauta – niezależnie od tego, czy adres jest wpisywany ręcznie w przeglądarkę, czy użytkownik korzysta z wyszukiwarki – zostaje przekierowany na fałszywą stronę. Tam wprowadza swoje poufne dane (numery kont, hasła itp.), które trafiają następnie w ręce cyberprzestępców.
„Manipulowanie plikiem hostów nie wywołuje żadnych podejrzanych zmian w działaniu komputera. Nieświadomi niczego użytkownicy padają ofiarą ataku, gdy wprowadzają adres internetowy banku. Dlatego atak jest tak niebezpieczny. Jego celem jest okradanie kont użytkowników, a informacja o iPhone stanowi tylko przynętę, która ma zachęcić użytkowników do uruchomienia pliku zawierającego złośliwy kod” – wyjaśnia Maciej Sobianek, specjalista ds. bezpieczeństwa Panda Security w Polsce.
Jak zabezpieczyć się przed pharmingiem:
• podczas łączenia się ze stroną, na której wymagane jest podanie poufnych danych, należy upewnić się, że adres URL jest taki sam jak wprowadzony przez nas. Nie powinien on zawierać żadnych dodatkowych liter, liczb itp.
• należy sprawdzić certyfikat bezpieczeństwa odwiedzanej witryny. Każda wiarygodna firma z branży e-commerce posiada certyfikat bezpieczeństwa własnych serwerów, wydany przez uprawniony do tego organ (np. Verisign)
• należy upewnić się, że zainstalowane oprogramowanie antywirusowe działa prawidłowo i jest zaktualizowane, ponieważ – tak jak w tym przypadku – modyfikacja ustawień DNS często jest przeprowadzana przy użyciu złośliwego kodu.