E-banking na celowniku

W ciągu ostatnich kilkunastu miesięcy banki oprócz kryzysu musiały borykać się z rosnącą falą ataków internetowych - choć wymierzonych nie bezpośrednio w nie same, to ich klientów. Na świecie spustoszenie siał i nadal stanowi zagrożenie malware zBot, który na liście swoich celów umieścił także największe banki w Polsce. Do nieszablonowych pomysłów na atakowanie bankowości internetowej można również zaliczyć: Mebroot, Sinowal i Limbo 2. Jaki jest modus operandi tego złośliwego oprogramowania? Co jeszcze znajduje się w arsenale przestępców? Czy są skuteczne sposoby obrony?

Polimorficzny trojan z gwarancją niewykrywalności

Na koniec chyba najmniej znany wirus - Limbo 2. Przez media zajmujące się tematyką bezpieczeństwa informacji został okrzyknięty trojanem z gwarancją niewykrywalności. Jest to jeden z najskuteczniejszych, najlepiej zaprojektowanych i napisanych kodów złośliwych w historii. Trojan ten ukrywa swoją obecność przed systemami zabezpieczeń, dzięki zmiennym, szyfrowanym powłokom oraz ogromnej polimorficzności (występowaniu w wielu odmianach i możliwości bardzo częstej autoaktualizacji swojego kodu przez internet). Duża polimorficzność i stosowane techniki kamuflażu pozwalają mu niezwykle skutecznie omijać mechanizmy kontroli antywirusowej, oparte wyłącznie na sygnaturach.

Do infekcji dochodzi najczęściej przez odwiedziny na stronie wykorzystywanej przez agresorów w charakterze punktu propagacji trojana. Infekcja bywa, rzecz jasna, w pełni transparentna dla użytkownika.

Limbo 2 stanowi rodzaj oprogramowania złośliwego infekującego przeglądarkę internetową Microsoft Internet Explorer. Instalowany jest jako obiekt BHO, czyli biblioteka dynamiczna w środowisku tej właśnie przeglądarki internetowej. Złośliwe i destrukcyjne funkcje zaimplementowane w kodzie biblioteki są uruchamiane w imieniu procesu przeglądarki, z pełnym dostępem do przestrzeni adresowej procesu, obiektów, metod i mechanizmów ochrony przeglądarki. Limbo 2 odpowiada za przełamanie mechanizmów zabezpieczeń komputera. Zainfekowany komputer staje się częścią na ogół bardzo licznej (średnio ok. 10-tysięcznej) sieci botnet. Wszystkie boty w ramach botnetu są sterowane centralnie z poziomu serwera zarządzającego, określanego mianem serwera Command and Control (C&C). Poprzez C&C można dokonywać różnych operacji na zainfekowanych stacjach, takich na przykład, jak rejestrowanie aktywności klawiatury (keylogging) i zrzutów ekranowych (screen-grabbing), instalowanie dowolnego oprogramowania (w tym innych wirusów, rootkitów, wytrychów itp.), niszczenie struktur systemów plików i dysków, blokowanie systemów zabezpieczeń, przekierowywanie połączeń do fałszywych serwerów, zatrzymywanie procesów systemowych i procesów użytkownika, automatyczna aktualizacja oprogramowania złośliwego do nowej (najczęściej niewykrywalnej) wersji i zasilenie oprogramowania złośliwego nową konfiguracją.

Ataki phishingowe Limbo 2 kierowane na klientów polskich banków internetowych polegają m.in. na przechwyceniu haseł dostępowych klientów oraz wyłudzeniu kodów do autoryzacji transakcji z list haseł jednorazowych, a następnie użyciu tych danych do przeprowadzenia fałszywych transakcji na szkodę klienta (wyprowadzenie środków z konta).