Как правило, банковские троянцы нацелены сразу на несколько систем ДБО. Наиболее яркими примерами являются многофункциональные боты Zbot и Carberp. Однако недавно мы обнаружили банковского троянца, который нацелен всего лишь на одну систему онлайн-банкинга — «PSB-Retail» Промсвязьбанка. Cхема его работы представляет определенный интерес.
Троянец распространяется при помощи drive-by загрузок. На зараженном компьютере эта вредоносная программа, в первую очередь, прописывает специальный URL в пункт настроек соединения с интернетом «Использовать скрипт автоматической настройки»:
По этой ссылке располагается PAC-файл следующего содержания:
После установки этой опции все запросы на retail.payment.ru начинают проходить через прокси-сервер злоумышленников. Это дает злоумышленникам возможность направить пользователя на созданную ими поддельную страницу входа в систему онлайн-банкинга Промсвязьбанка.
Два года назад мы уже описывали эту технику, но до сих пор она активно использовалась преимущественно бразильскими злоумышленниками.
Однако использования PAC-файла в данном случае оказалось недостаточно. Интернет-банкинг «PSB-Retail» Промсвязьбанка по умолчанию работает через защищенное HTTPS-соединение. Злоумышленникам пришлось принять меры, дабы не вызывать подозрений у пользователя. Они сформировали цифровой сертификат, который прописывается в хранилища всех популярных браузеров, а также помещается в список доверительных корневых центров сертификации:
Трафик от пользователя шифруется установленным открытым ключом, а на сервере злоумышленников расшифровывается имеющимся у них закрытым ключом.
В результате, заход на поддельную страницу для пользователя выглядит легитимно — привычный интерфейс, значок защищенного соединения присутствует:
Однако между оригинальной и поддельной страницами все-таки есть несколько внешних отличий:
- Адрес страницы реального онлайн-банкинга — https://retail.payment.ru/n/default.aspx, поддельной страницы — https://retail.payment.ru/bank/default.aspx;
- Телефон службы поддержки тоже слегка изменен: вместо правильного номера 8 800 333 03 03 на поддельной странице указан 8 800 303 03 03. Таким образом, если даже пользователь заподозрит что-то неладное, то он не сможет быстро дозвониться до службы поддержки.
Если же посмотреть информацию о сертификате сайта, то на настоящем сайте вместо сформированного злоумышленниками сертификата, выписанного неким RU Banks Ltd CA, мы увидим легитимный сертификат, подписанный Thawte SSL CA:
Еще одна особенность этого зловреда заключается в том, что после первого запуска его присутствие в системе необязательно. Таким образом, даже если впоследствии антивирус обнаружит и удалит вредоносный исполняемый файл, то трафик для интернет-банка по-прежнему будет проходить через сервер злоумышленников.
Еще в начале у меня возник закономерный вопрос: есть ли жертвы у этого троянца при такой его узкой направленности? После недолгих поисков я нашел развернутый ответ в виде истории одного пользователя:
Пока пользователь пытался безуспешно войти в систему на фишинговой странице, злоумышленники перехватили все данные для доступа, включая одноразовые ключи, и совершили безналичный перевод.
Любопытно, что в последних версиях троянца злоумышленники обновили данные сертификата, и теперь он подписан якобы Thawte Ltd CA, что уже ближе к Thawte SSL CA, но все еще не то.
Все продукты «Лаборатории Касперского» детектируют троянца как Trojan-Banker.Win32.Capper.a, блокируют доступ к ресурсам, на которых размещается PAC-файл, а также детектируют сам PAC-файл как Trojan-Banker.JS.Proxy.ap.
Стоит также отметить, что технология «Безопасные платежи«, включенная в Kaspersky Internet Security 2013, защищает от подобных атак, поскольку при установлении HTTPS-соединения производится валидация цифрового сертификата на предмет его соответствия с оригиналом.
Всем пользователям рекомендуется проверить конфигурацию интернет-соединения на наличие вышеупомянутой вредоносной настройки.
В Internet Explorer: Tools -> Connections -> LAN Settings… -> Use automatic configuration script (скрин см. выше).
Chrome использует эти же настройки соединения.
В Firefox: Tools -> Options -> Advanced -> Network -> Settings -> Automatic proxy configuration URL
В Opera: Settings -> Preferences -> Advanced -> Network -> Proxy Servers… -> Use automatic proxy configuration
Промсвязьбанк предупредил своих клиентов об угрозе.
Банк рекомендует пользователям обязательно проверить конфигурацию интернет-соединения. Кроме того, клиентам банка необходимо выполнять следующие правила безопасности:
- Заходить в систему PSB-Retail и PSB On-Line только с официального сайта www.psbank.ru, либо напрямую по адресу retail.payment.ru (для физических лиц) или filials.payment.ru (для юридических лиц).
- Обратить внимание, что для входа в интернет-банк PSB-Retail (для физических лиц) на странице входа необходимо ввести номер клиента и пароль.
- Если клиент ранее оформлял сертификат и активировал (зарегистрировал) его в офисе банка, то войти в систему можно при помощи сертификата. Для этого на странице входа необходимо перейти по ссылке «Вход с использованием сертификата» и ввести пароль, заданный клиентом при создании сертификата.
- Если у клиента подключена опция «Дополнительная проверка ключа при входе», то на следующей странице после ввода номера клиента/пароля (пароля на сертификат) система дополнительно запросит ввести ключ из таблицы разовых ключей.
- Промсвязьбанк рекомендует установить опцию дополнительной проверки разового ключа при входе в систему, данная опция может быть подключена в офисе банка (например, при оформлении услуги), по звонку в Контакт-центр или самостоятельно в интернет-банке PSB-Retail в разделе «Настройки».
- В случае нестандартного поведения системы надо обязательно проинформировать об этом банк.
При обнаружении подозрительных операций банк оставляет за собой право связываться с клиентами для подтверждения транзакций.
Соблюдение этих необходимых правил поможет защитить данные клиентов и сделать работу с системой дистанционного банковского обслуживания безопасной.
Более подробные рекомендации клиентам по соблюдению правил безопасности
размещены на сайте Промсвязьбанка: http://www.psbank.ru/about/5500/.
«Точечный» банкер