Złośliwe oprogramowanie bankowe monitoruje ofiary przejmując kamery internetowe i mikrofony, naukowcy mówią

Nowa odsłona złośliwego oprogramowania SpyEye pozwala cyberprzestępcom monitorować potencjalne ofiary oszustw bankowych, przejmując kontrolę nad ich kamerami internetowymi i mikrofonami, według analityków bezpieczeństwa z firmy antywirusowej Kaspersky Lab.

SpyEye to komputerowy koń trojański, który jest skierowany do użytkowników bankowości internetowej. Podobnie jak jej starszy kuzyn, Zeus, SpyEye nie jest już rozwijany przez swojego oryginalnego autora, ale wciąż jest szeroko wykorzystywany przez cyberprzestępców w swoich działaniach.

Architektura wtyczek SpyEye pozwala zewnętrznym twórcom złośliwego oprogramowania rozszerzyć jego pierwotną funkcjonalność , Badacz szkodliwego oprogramowania Kaspersky Lab, Dmitry Tarakanov, powiedział w poniedziałek na blogu. Tak właśnie stało się z nową funkcją szpiegowania kamery i mikrofonu, która jest zaimplementowana jako wtyczka SpyEye o nazwie flashcamcontrol.dll, powiedział Tarakanov.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Zgodnie z sugestią nazwy DLL złośliwe oprogramowanie uzyskuje dostęp do tych dwóch komputerowych urządzeń peryferyjnych, wykorzystując Flash Player, który ma wbudowaną funkcję kontroli kamery i mikrofonu.

W normalnych okolicznościach użytkownicy otrzymują monit o ręczne zezwolenie stronom na kontrolowanie kamery internetowej ich komputerów i mikrofon za pomocą lampy błyskowej. Jednak wtyczka SpyEye cicho umieszcza na białej liście listę witryn bankowości internetowej, bezpośrednio modyfikując pliki konfiguracyjne programu Flash Player.

Początkowo naukowcy z Kaspersky Lab uważali, że może to być częścią schematu pomijającego systemy rozpoznawania twarzy używane przez niektórych użytkowników. banki dla bezpiecznego uwierzytelniania. Jednak po skontaktowaniu się z docelowymi organizacjami dowiedzieli się, że żaden z nich nie ma na swoich stronach internetowych żadnych funkcji związanych z kamerami internetowymi.

Naukowcy z Kaspersky Lab odkryli później, analizując inny komponent SpyEye, że złośliwe oprogramowanie wstrzykuje kamerę internetową i przejęcie mikrofonu Flashuj treści do wybranych stron internetowych bankowości internetowej, gdy te witryny są otwierane w przeglądarce na zainfekowanych komputerach.

Odbywa się to za pomocą techniki manipulacji stronami internetowymi w locie, w której większość złośliwego oprogramowania bankowego, w tym SpyEye, również wykorzystuje do wyświetlania fałszywych wiadomości i ukrywania prawidłowych treści w przeglądarce.

Niektóre banki wymagają od klientów potwierdzenia transakcji zainicjowanych z ich kont internetowych poprzez wpisanie tajnych kodów wysyłanych do ich telefonów komórkowych lub generowanych przez przenośne tokeny sprzętowe. Cyberprzestępcy potrzebują tych kodów do kradzieży pieniędzy, więc często wykorzystują socjotechnikę, aby oszukać ofiary w celu ich ujawnienia.

W innych przypadkach banki będą dzwonić do swoich klientów w celu autoryzowania transakcji przez telefon, a dzieje się tak, gdy kamera i Zdolności szpiegowania mikrofonu mogą być bardzo przydatne dla atakujących. Tak było w przypadku ekwadorskiego banku, którego klienci kierowali w przeszłości inny złośliwy program, który posiadał tę funkcję, powiedział Tarakanov.

Podczas rozmów z operatorem telefonicznym banku klienci mogą ujawniać bardzo poufne informacje o sobie i swoich kont, w celu zweryfikowania ich tożsamości. Informacje te mogą obejmować nazwisko panieńskie matki, datę urodzenia, numer karty kredytowej i numer ubezpieczenia społecznego, a także ich osobisty numer identyfikacyjny (TPIN), który jest używany do operacji bankowych telefonu.

"Korzystanie z mikrofonu, intruz może nasłuchiwać, a później przestępca może sam zadzwonić do banku, udając klienta, którego kod podsłuchał - powiedział Tarakanov. "Za pomocą tego kodu można zaktualizować dane telefonu i dane logowania, przejmując pełną kontrolę nad kontem ofiary."

Z drugiej strony, poprzez włamywanie się do kamer internetowych, cyberprzestępcy mogą monitorować reakcje ofiar, gdy czytają wiadomości opracowane społecznie wyświetlane przez szkodliwe oprogramowanie na stronach internetowych bankowości internetowej.

Cyberprzestępcy nigdy nie są w 100% pewni, jak skuteczne będą ich sztuczki inżynierii społecznej, powiedział Tarakanov przez e-mail. Ważne jest dla nich zrozumienie, gdzie i dlaczego ich ataki zawodzą, więc mogą je ulepszyć, aby uzyskać lepsze wyniki. "

Możliwe jest również, że niektórzy z docelowych użytkowników będą postępować zgodnie ze sprawdzonymi procedurami i dzwonią do swoich banków, aby zweryfikować autentyczność wszelkich podejrzanych wiadomości, które napotykają podczas sesji bankowości internetowej.

Kiedy to robią, prawdopodobnie muszą uwierzytelnić się przez telefon - proces, który, jak wspomniano wcześniej, ujawnia poufne informacje, które mogą być przechwytywane przez mikrofon.

Ten konkretny atak pokazuje, że cyberprzestępcy nie tylko zbierają pieniądze ludzi, ale także ich emocje, powiedział Tarakanov w poście na blogu.

Aby uchronić się przed takimi atakami, użytkownicy mogą ukrywać swoje kamery internetowe, gdy są nieużywanie ich, ale to nie jest tak łatwe w użyciu z mikrofonami, powiedział Tarakanov przez e-mail.

Zarówno kamery internetowe, jak i mikrofony można wyłączyć z systemu operacyjnego, ręcznie lub przy pomocy specjalistycznego oprogramowania, ale nie byłoby to wygodne, zwłaszcza dla osób, które regularnie używają tych urządzeń peryferyjnych.

O wiele łatwiej jest zapobiegać infekcjom, przestrzegając podstawowych zasad bezpieczeństwa, takich jak aktualizowanie całego oprogramowania, uruchamianie aktualizacji -date program antywirusowy, sprawdzanie linków przed ich kliknięciem i unikanie instalowania programów z podejrzanych źródeł, powiedział Tarakanov.