Το κέντρο ερευνών malware στα κεντρικά γραφεία της ESET ανακάλυψε ένα νέο και δραστικό trojan που επιτίθεται σε χρήστες online τραπεζικών υπηρεσιών σε Ευρώπη και Ασία. Οι καμπάνιες εξάπλωσης που χρησιμοποιεί παρουσιάζονται εξαιρετικά αξιόπιστες και σχετίζονται με διάσημες οργανώσεις, ξεγελώντας έτσι τα θύματα να «τρέξουν» το κακόβουλο λογισμικό, ενώ έχουν καταγραφεί ήδη αρκετές περιπτώσεις υποκλοπής οικονομικών δεδομένων εξαιτίας της νέας αυτής απειλής. Σύμφωνα με τη βάση δεδομένων του LiveGrid® – το σύστημα της ESET για συλλογή στατιστικών δεδομένων για malware μέσω του cloud – εντοπίστηκαν εκατοντάδες μολύνσεις στην Τουρκία και δεκάδες στην Τσεχία, στο Ηνωμένο Βασίλειο και την Πορτογαλία. Αυτό το ισχυρό και πολύ εξειδικευμένο “banking malware” που ονομάστηκε Hesperbot εξαπλώνεται μέσω “phishing” απειλών που προσομοιάζουν σε emails και προσπαθεί παράλληλα να μολύνει κινητές συσκευές που λειτουργούν σε πλατφόρμες Android, Symbian και Blackberry.
Η απειλή ανιχνεύεται ως Win32/Spy.Hesperbot, περιλαμβάνει ικανότητες keylogger, μπορεί να δημιουργήσει screenshots της επιφάνειας εργασίας και λήψη βίντεο, και να εγκαταστήσει απομακρυσμένο διακομιστή μεσολάβησης, αλλά συμπεριλαμβάνει παράλληλα και μερικά πιο προηγμένα χαρακτηριστικά εξαπάτησης, όπως τη δημιουργία κρυφής απομακρυσμένης σύνδεσης στο μολυσμένο σύστημα. «η ανάλυση της απειλής έδειξε ότι πρόκειται για ένα “bankingtrojan”, με παρόμοια λειτουργία και ίδιους στόχους με τα διάσημα Zeusκαι SpyEye, ωστόσο σημαντικές διαφοροποιήσεις στην εκτέλεση του καταδεικνύουν μία νέα οικογένεια malware, και όχι παραλλαγή ενός παλιότερου γνωστού trojan,» επισημαίνει ο Robert Lipovsky, ερευνητής malware της ESET, που ηγείται της ομάδας που αναλύει αυτή την απειλή, και προσθέτει: «Λύσεις της ESETόπως το ESETSmartSecurityκαι το ESETMobileSecurityπροστατεύουν από αυτό το κακόβουλο λογισμικό».
Η επίθεση στοχεύει στην απόκτηση των στοιχείων εισόδου για πρόσβαση στους τραπεζικούς λογαριασμούς του θύματος, και εγκαθιστά μια mobile εφαρμογή του malware στο Symbian, Blackberry ή Android κινητό τηλέφωνο του.
Η εκστρατεία στην Τσεχία ξεκίνησε στις 8 Αυγούστου 2013. Οι εισβολείς κατοχύρωσαν το domain www.ceskaposta.net, που είναι παρόμοιο με το αυθεντικό website των Τσέχικων Ταχυδρομικών Υπηρεσιών. «Δεν μας προκαλεί έκπληξη που οι δράστες προσπάθησαν να εξαπατήσουν πιθανά θύματα να ανοίξουν το malware στέλνοντας phishing malware που μοιάζουν με emails παρόμοια με τα μηνύματα που στέλνουν οι Ταχυδρομικές Υπηρεσίες για τον εντοπισμό δεμάτων. Η τεχνική αυτή έχει χρησιμοποιηθεί πολλές φορές στο παρελθόν,» δηλώνει ο Lipovsky. Οι Τσέχικες Ταχυδρομικές Υπηρεσίες ανταποκρίθηκαν πολύ γρήγορα αναρτώντας προειδοποίηση για την απάτη στο website τους.
Ωστόσο, η χώρα που πλήγηκε περισσότερο από το trojan αυτό είναι η Τουρκία, με επιθέσεις του Hesperbot να ανιχνεύονται νωρίτερα από τις 8 Αυγούστου. Τον Ιούλιο του 2013 παρατηρήθηκαν στην Τουρκία κορυφώσεις στη δραστηριότητα του botnet, ενώ η ESET εντόπισε επίσης παλιότερα δείγματα που χρονολογούνται τουλάχιστον τον Απρίλιο 2013. Το phishing e-mail που στάλθηκε στα υποψήφια θύματα εμφανιζόταν ως τιμολόγιο. Παραλλαγή του malware εντοπίστηκε επίσης σε στοχευμένους χρήστες υπολογιστών στην Πορτογαλία και το Ηνωμένο Βασίλειο.
Εκτενέστερη ανάλυση του συγκεκριμένου malware είναι διαθέσιμη στην πλατφόρμα της ESET WeLiveSecurity.com με τις πιο πρόσφατες πληροφορίες από τον τομέα της ασφάλειας, αναλύσεις για κυβερνοαπειλές και χρήσιμες συμβουλές. Στο WeLiveSecurity.com θα υπάρχει διαρκής ενημέρωση με αναρτήσεις και white paper σχετικά με το κακόβουλο λογισμικό Hesperbot.