Trojan-Spy.SymbOS.Zbot

By Главный редактор

78952 Специалисты компании S21Sec в конце сентября 2010 года обнаружили вредоносную программу, что была способна быстро пересылать входящие SMS-сообщения на определенный удаленный номер. Казалось бы ничего интересного. Но выяснилось, что данный зловред напрямую связан с уже известным прежде -Zbot или ZeuS. Также было установлено, что злоумышленников в этот раз интересовали вовсе не все SMS-сообщения, а лишь некоторые, те, что содержали определенные коды аутентификации именно для онлайн-банковских операций. Эта вредоносная программа задетектирована специалистами как Trojan-Spy.SymbOS.Zbot.a. Как она атакует. Так с зараженного компьютера вред Zbot быстро крадет нужные данные для своего доступа к онлайн-банкингу. Далее выяснив телефонный номер предполагаемой жертвы, он посылает SMS-сообщение, конечно, со ссылкой на указанную вредоносную программу. И затем, злоумышленник тут же пытается провернуть операцию в нужном онлайн-банкинге, что требует обязательного SMS-подтверждения. Как только Банк отправляет нужное SMS-сообщение с данным кодом аутентификации на номер жертвы, зловредная программа быстро пересылает все входящее сообщения на телефон зловредителя. Получив код аутентификации, он завершает свою операцию в онлайн-банкинге. Примечательно, что эта вредоносная программа была подписана даже легальным сертификатом. Отметим, что подобная сложная схема атаки явно «говорит» о том, что интересы злоумышленников только расширяются. До его обнаружения SMS-аутентификация, отметим, оставалась одним из многих надежных способов полной защиты при совершении любых банковских операций в интернете. Сегодня, злоумышленники же научились качественно обходить и этот уровень высокой защиты.


Warning: Table './accessnet/accesslog' is marked as crashed and should be repaired query: INSERT INTO accesslog (title, path, url, hostname, uid, sid, timer, timestamp) values('', 'node/368', '', '65.21.61.13', 0, '45k1g59768k74qvmav57sbr9f6', 19, 1647218343) in /var/www/sites/gogolev/multi/includes/database.mysql.inc on line 135