Банковские трояны представляют собой постоянную «головную боль» для финансового сектора. Этот вид вредоносного ПО позволяет красть онлайн-личности своих жертв и использует эту информацию для обмана финансовых учреждений с целью кражи денег с их счетов. За последние несколько лет мы видели много примеров такого рода кибер-преступлений. В прошлом году одним из наиболее примечательных банковских троянов был BackSwap, который использовал целый ряд передовых методов для обхода средств информационной безопасности.

Как и в случае с многими другими видами вредоносных программ, создатели банковских троянов постоянно ищут новые способы поставить под угрозу информационную безопасность своих жертв и украсть их данные или даже их деньги.

Metamorfo: банковские трояны наступают

Metamorfo – это банковский троян, который был обнаружен в апреле 2018 года. Начнем с того, что изначально его деятельность была ограничена только Бразилией, где он собирал информацию о своих жертвах, включая снимки экрана и историю их просмотра, с целью кражи денег жертв с их счетов в онлайн-банках. Теперь, в феврале этого года, специалисты по информационной безопасности стали обнаруживать более широкомасштабные кампании с использованием этого трояна.

Новая волна использования этого трояна предназначена для сбора номеров кредитных карт, финансовой информации и других видов персональных данных. Троян был обнаружен у клиентов более чем 20 онлайн-банков в США, Канаде, Чили, Испании, Бразилии, Мексике и Эквадоре.

Троян со множеством трюков за пазухой

Как и в случае со многими другими вредоносными кампаниями, Metamorfo начинает с фишинга. В этом случае в электронном письме жертве сообщается, что оно содержит информацию о счете, и предлагает пользователю загрузить заархивированный файл в формате .zip. Когда пользователь скачает и запустит этот файл на компьютере с Windows, то Metamorfo может начать функционировать на нем.

После установки (а зловред дополнительно проверит, что он не работает в песочнице или виртуальной среде) вредоносная программа запускает скрипт AutoIt для выполнения программы. Этот язык скриптов предназначен для автоматизации графического пользовательского интерфейса Windows и общих сценариев, но он также используется во вредоносных атаках для обхода антивирусных систем.

Когда он работает в скомпрометированной системе Windows, Metamorpho закрывает любой используемый браузер и при открытии нового окна браузера не позволяет использовать автозаполнение в полях ввода данных. Таким образом, вредоносная программа вынуждает жертву повторно ввести свое имя пользователя и пароль, что позволяет кейлоггеру вредоносной программы собирать эту ценную информацию и отправлять ее на сервер управления C2.

Чтобы не упустить ни одного шанса собрать подобные данные, Metamorfo также оснащен функцией, которая отслеживает 23 ключевых слова, связанные с интересующими злоумышленников банками. Таким образом, когда жертва обращается к услугам одного из таких банков, то эта функция предупреждает троян заранее.

Как можно остановить Metamorfo?

Тот факт, что данная угроза использует электронную почту в качестве основного вектора атаки, означает: первое, что необходимо сделать, чтобы не позволить Metamorfo причинить экономический ущерб компании, - это осуществлять фильтрацию и мониторинг электронных писем. Для гарантии того, что никакая угроза не может проникнуть в организацию через электронную почту, жизненно важно обучить сотрудников распознавать фишинговые электронные письма.

Также жизненно важно иметь современную защиту. Saas-сервис Panda Email Protection обеспечивает многоуровневую защиту электронной почты от всех видов спама и вредоносных программ в режиме реального времени. Передовая технология сканирования выполняется из облака, что упрощает управление безопасностью, так как ее можно использовать в любом месте и в любое время, просто получив доступ к веб-консоли.

Даже если электронное письмо не имеет никаких "классических" признаков фишинга, но все равно вызывает подозрения из-за отправителя, темы или любого другого подозрительного элемента, всегда лучше перепроверить его содержимое, особенно если речь идет о банковских переводах.

Наконец, как можно сказать о большинстве проблем кибер-безопасности, риски, связанные с атаками по электронной почте, можно избежать с помощью удачной комбинации человеческих и технологических факторов: здравый смысл и обучение сотрудников для приобретения опыта в предотвращении и обнаружении атак, а также использование передовых платформ информационной безопасности, способных предупреждать о любых опасностях, которые мы, возможно, упускаем из виду.