Warszawa, 18 listopada 2013. Specjaliści z Doctor Web ostrzegają przed trojanami z rodziny BackDoor.Caphaw, które wykradają m.in. hasła do logowania w systemach bankowości elektronicznej. W celu zainstalowania złośliwego oprogramowania na komputerach, cyberprzestępcy posłużyli się wiadomościami wysyłanymi przez komunikator internetowy Skype.
Trojan BackDoor.Caphaw – podstawowe informacje
BackDoor.Caphaw to rodzina trojanów bankowych. Przejmują one funkcje różnych aplikacji, w tym przeglądarek i systemów bankowości elektronicznej, umożliwiając cyberprzestępcom uzyskanie dostępu do wszystkich informacji wprowadzanych przez użytkownika, w tym do loginów i haseł.
Kanały i sposoby dystrybucji
Infekcje komputerów trojanem BackDoor.Caphaw odnotowano już w ubiegłym roku. Kolejne przypadki dystrybucji BackDoor.Caphaw z zastosowaniem masowej wysyłki wiadomości na Skype zarejestrowano w październiku tego roku, jednak największą skalę przybrały w okresie od 5 do 14 listopada. Do rozprzestrzeniania trojanów przestępcy wykorzystali wiadomości phishingowe, które swoją budzącą zaufanie formą mają zachęcić użytkowników do otwarcia załączonego szkodliwego pliku. W przypadku ostatnich infekcji, wiadomości te zawierały link do pliku o nazwie invoice_ XXXXX.pdf.exe.zip (gdzie XXXXX to losowy zestaw liczb).
Do masowej dystrybucji trojanów bankowych wykorzystywane były luki w zabezpieczeniach Skype oraz samokopiowanie na dyski wymienne i sieciowe.
Sposób działania
Po instalacji w systemie operacyjnym, złośliwe oprogramowanie zapisuje w folderze aplikacji swoją kopię w postaci pliku o dowolnej nazwie i modyfikuje klucz rejestru systemowego odpowiedzialnego za automatyczne uruchamianie programów. Następnie BackDoor.Caphaw próbuje przeniknąć do uruchomionych programów i nawiązuje połączenie z serwerem cyberprzestępców. Równocześnie, monitoruje on aktywność użytkownika, śledząc wyniki jego działań. Po wykryciu próby połączenia się z systemami bankowości elektronicznej, jest w stanie przechwycić wprowadzane w nich dane.
Kolejna funkcjonalność trojana to zdolność do zapisu strumienia wideo na zainfekowanym komputerze i wysyłania go do serwera cyberprzestępców w postaci archiwum RAR. Poza tym BackDoor.Caphaw potrafi zdalnie uruchamiać dodatkowe moduły, które realizują takie funkcje jak uruchomienie serwera VNC czy przechwytywanie i przekazywanie przestępcom haseł do różnych programów, takich jak np. klient FTP. Potrafi on także ingerować w główny sektor startowy (MBR – Master Boot Record) dysku twardego i dystrybuować do użytkowników Skype’a linki prowadzące do złośliwego oprogramowania.
Jak się bronić?
Aby zabezpieczyć się przed takimi zagrożeniami jak BackDoor.Caphaw, warto odpowiednio skonfigurować program Skype, tak, aby zablokować otrzymywanie plików i wiadomości od nieznajomych. Ponadto nie należy pobierać nieznanych plików, nawet, jeżeli pochodzą od znajomych, ponieważ ich komputery mogą być już zainfekowane tym rodzajem złośliwego oprogramowania.
Antywirus Dr.Web wykrywa i unieszkodliwia BackDoor.Caphaw. Ofiarom ataku specjaliści z Doctor Web polecają uruchomić komputer w trybie awaryjnym i wykonać jego pełne skanowanie przy użyciu bezpłatnego narzędzia Dr.Web CureIt! lub użyć dysku ratunkowego Dr.Web LiveCD. Po wykonaniu tych czynności warto również zmienić hasła do logowania w bankowości elektronicznej.
O firmie Doctor Web
Doctor Web to rosyjski producent narzędzi bezpieczeństwa informacyjnego. Program antywirusowy Dr.Web opracowywany jest od 1992 r. Doctor Web jest jednym z nielicznych dostawców programów antywirusowych na świecie, który posiada własną technologię wykrywania i leczenia złośliwego oprogramowania. Firma dysponuje silnikiem antywirusowym własnego autorstwa, własnym laboratorium analitycznym, serwisem wsparcia technicznego oraz globalnym serwisem monitorowania wirusów. Produkty Dr.Web są popularne na całym świecie – korzystają z nich prywatni użytkownicy, przedsiębiorstwa, instytucje państwowe, niewielkie organizacje i duże strategiczne korporacje. Liczne certyfikaty i nagrody państwowe świadczą o dużym zaufaniu do programu antywirusowego Dr.Web.
Dostępność produktów Dr.Web w Polsce
Oficjalnymi dystrybutorami produktów Dr.Web w Polsce są:
– SOFTNOW: www.softnow.pl
– TECHNOLOGIE INTERNETOWE S.A.: www.ti.com.pl, www.drweb.com.pl
Joanna Schulz-Torój
Biuro Doctor Web w Polsce
ul. Widok 8, 00-023 Warszawa
Tel.: (+48) 514 601 813
E-mail: [email protected]
WWW: www.drweb.com
Wpisy o podobnej tematyce
Słowa kluczowe: Dr. WEB, infekcja, kanały, Skype, uwaga, wiadomość
