«Точечный» банкер

Как правило, банковские троянцы нацелены сразу на несколько систем ДБО. Наиболее яркими примерами являются многофункциональные боты Zbot и Carberp. Однако недавно мы обнаружили банковского троянца, который нацелен всего лишь на одну систему онлайн-банкинга — «PSB-Retail» Промсвязьбанка. Cхема его работы представляет определенный интерес.

Троянец распространяется при помощи drive-by загрузок. На зараженном компьютере эта вредоносная программа, в первую очередь, прописывает специальный URL в пункт настроек соединения с интернетом «Использовать скрипт автоматической настройки»:

По этой ссылке располагается PAC-файл следующего содержания:

После установки этой опции все запросы на retail.payment.ru начинают проходить через прокси-сервер злоумышленников. Это дает злоумышленникам возможность направить пользователя на созданную ими поддельную страницу входа в систему онлайн-банкинга Промсвязьбанка.

Два года назад мы уже описывали эту технику, но до сих пор она активно использовалась преимущественно бразильскими злоумышленниками.

Однако использования PAC-файла в данном случае оказалось недостаточно. Интернет-банкинг «PSB-Retail» Промсвязьбанка по умолчанию работает через защищенное HTTPS-соединение. Злоумышленникам пришлось принять меры, дабы не вызывать подозрений у пользователя. Они сформировали цифровой сертификат, который прописывается в хранилища всех популярных браузеров, а также помещается в список доверительных корневых центров сертификации:

Трафик от пользователя шифруется установленным открытым ключом, а на сервере злоумышленников расшифровывается имеющимся у них закрытым ключом.

В результате, заход на поддельную страницу для пользователя выглядит легитимно — привычный интерфейс, значок защищенного соединения присутствует:

Однако между оригинальной и поддельной страницами все-таки есть несколько внешних отличий:

• Адрес страницы реального онлайн-банкинга — https://retail.payment.ru/n/default.aspx, поддельной страницы — https://retail.payment.ru/bank/default.aspx;
• Телефон службы поддержки тоже слегка изменен: вместо правильного номера 8 800 333 03 03 на поддельной странице указан 8 800 303 03 03. Таким образом, если даже пользователь заподозрит что-то неладное, то он не сможет быстро дозвониться до службы поддержки.

Если же посмотреть информацию о сертификате сайта, то на настоящем сайте вместо сформированного злоумышленниками сертификата, выписанного неким RU Banks Ltd CA, мы увидим легитимный сертификат, подписанный Thawte SSL CA:

Еще одна особенность этого зловреда заключается в том, что после первого запуска его присутствие в системе необязательно. Таким образом, даже если впоследствии антивирус обнаружит и удалит вредоносный исполняемый файл, то трафик для интернет-банка по-прежнему будет проходить через сервер злоумышленников.

Еще в начале у меня возник закономерный вопрос: есть ли жертвы у этого троянца при такой его узкой направленности? После недолгих поисков я нашел развернутый ответ в виде истории одного пользователя:

Пока пользователь пытался безуспешно войти в систему на фишинговой странице, злоумышленники перехватили все данные для доступа, включая одноразовые ключи, и совершили безналичный перевод.

Любопытно, что в последних версиях троянца злоумышленники обновили данные сертификата, и теперь он подписан якобы Thawte Ltd CA, что уже ближе к Thawte SSL CA, но все еще не то.

Все продукты «Лаборатории Касперского» детектируют троянца как Trojan-Banker.Win32.Capper.a, блокируют доступ к ресурсам, на которых размещается PAC-файл, а также детектируют сам PAC-файл как Trojan-Banker.JS.Proxy.ap.

Стоит также отметить, что технология «Безопасные платежи«, включенная в Kaspersky Internet Security 2013, защищает от подобных атак, поскольку при установлении HTTPS-соединения производится валидация цифрового сертификата на предмет его соответствия с оригиналом.

Всем пользователям рекомендуется проверить конфигурацию интернет-соединения на наличие вышеупомянутой вредоносной настройки.

В Internet Explorer: Tools -> Connections -> LAN Settings… -> Use automatic configuration script (скрин см. выше).

Chrome использует эти же настройки соединения.

В Firefox: Tools -> Options -> Advanced -> Network -> Settings -> Automatic proxy configuration URL

В Opera: Settings -> Preferences -> Advanced -> Network -> Proxy Servers… -> Use automatic proxy configuration

Промсвязьбанк предупредил своих клиентов об угрозе.

Банк рекомендует пользователям обязательно проверить конфигурацию интернет-соединения. Кроме того, клиентам банка необходимо выполнять следующие правила безопасности:

1. Заходить в систему PSB-Retail и PSB On-Line только с официального сайта www.psbank.ru, либо напрямую по адресу retail.payment.ru (для физических лиц) или filials.payment.ru (для юридических лиц).
2. Обратить внимание, что для входа в интернет-банк PSB-Retail (для физических лиц) на странице входа необходимо ввести номер клиента и пароль.
3. Если клиент ранее оформлял сертификат и активировал (зарегистрировал) его в офисе банка, то войти в систему можно при помощи сертификата. Для этого на странице входа необходимо перейти по ссылке «Вход с использованием сертификата» и ввести пароль, заданный клиентом при создании сертификата.
4. Если у клиента подключена опция «Дополнительная проверка ключа при входе», то на следующей странице после ввода номера клиента/пароля (пароля на сертификат) система дополнительно запросит ввести ключ из таблицы разовых ключей.
5. Промсвязьбанк рекомендует установить опцию дополнительной проверки разового ключа при входе в систему, данная опция может быть подключена в офисе банка (например, при оформлении услуги), по звонку в Контакт-центр или самостоятельно в интернет-банке PSB-Retail в разделе «Настройки».
6. В случае нестандартного поведения системы надо обязательно проинформировать об этом банк.

При обнаружении подозрительных операций банк оставляет за собой право связываться с клиентами для подтверждения транзакций.

Соблюдение этих необходимых правил поможет защитить данные клиентов и сделать работу с системой дистанционного банковского обслуживания безопасной.

Более подробные рекомендации клиентам по соблюдению правил безопасности
размещены на сайте Промсвязьбанка: http://www.psbank.ru/about/5500/.