Český tým analytiků společnosti ESET odhalil nový typ bankovního malware, který útočí na oběti v Mexiku a Brazílii

Praha 20. srpna (PROTEXT) - Pražský tým analytiků se poslední rok soustředil na výzkum útoků na latinskoamerické banky. Jejich typickým příkladem je kampaň Amavaldo, která kombinuje postupy sociálního inženýrství, backdooru a trojského koně. Pražské výzkumné centrum bezpečnostní společnosti ESET odhalilo v Latinské Americe deset nových rodin bankovního malwaru. Během výzkumu trvajícího více než rok bylo detailně zdokumentováno chování objevených řad škodlivých kódů. Typickým příkladem je malware Amavaldo, který útočil hlavně v Mexiku a Brazílii. „České výzkumné centrum se loňský rok zaměřilo na bankovní malware v Latinské Americe,“ říká Robert Šuman, vedoucí pražského výzkumného oddělení společnosti ESET. „Chtěli jsme zjistit, jak spolu souvisí různé druhy malware, jestli budeme schopni identifikovat i nové rodiny v této oblasti a lépe tak uživatele chránit,“ dodává Šuman. Jihoamerický malware je mimořádně specifický, říká analytik Bankovní trojské koně, které útočníci šíří v Latinské Americe, mají všeobecně několik společných znaků. Jsou napsány v Delphi, což je vývojové prostředí pro jazyk Object Pascal, obsahují funkce backdooru, zneužívají legitimní nástroje a software a cílí na španělsky nebo portugalsky mluvící země. Ke krádeži citlivých údajů využívají zjištěné bankovní trojské koně jistou formu sociálního inženýrství. Neustále detekují aktivní okna v počítači oběti a pokud zjistí, že se některé z nich týká banky, zahájí útok. Tyto útoky jsou obvykle zaměřeny na přesvědčování oběti, aby podnikla naléhavé nebo nezbytné kroky, často ve formě aktualizace softwaru, nebo ověření informací o kreditní kartě nebo bankovním účtu. Amavaldo se šíří e-mailem a skrývá se před detekcí Nově objevená rodina malware Amavaldo je charakteristická vlastním specifickým způsobem šifrování řetězců ve svém kódu. Podobně jako další bankovní trojské koně i Amavaldo nabízí po infiltraci zařízení sérii nástrojů typických pro bankovní malware. Útočníci dokáží například vytvářet snímky obrazovky, zachytit oběť webkamerou, zakázat přístup k různým webovým stránkám bank nebo simulovat pohyb kurzoru či psaní na klávesnici. Amavaldo používá pokročilé útočné techniky. Jakmile kód zaznamená okno elektronického bankovnictví, vytvoří snímek obrazovky a nastaví ho jako pozadí novému celoobrazovkovému oknu, které vše překryje. Poté uživateli zobrazí falešné pop-up okno, které mu brání interagovat s čímkoli dalším kromě tohoto okna. „Jsme přesvědčeni o tom, že se tento malware šíří prostřednictvím spamové kampaně v podobě příloh maskovaných za legitimní PDF dokumenty,“ popisuje Šuman princip šíření malwaru Amavaldo, pomocí kterého útočníci napadají zejména brazilské a mexické bankovní aplikace. KONTAKT: Ondřej Šafář PR manažer +420 222 811 164 +420 776 234 218 ESET software spol. s r. o. Classic 7 Business Park Jankovcova 1037/49 170 00 Praha 7 Česká republika www.eset.cz