Škodlivý kód Eurograbber byl objeven společnostmi Versafe a Check Point Software. Prozatím má na svědomí odcizení více než 36 miliónu euro (cca 900 miliónu korun) z více než 30.000 bankovních účtů. Ukradené částky se většinou pohybují mezi 500 a 250.000 euro. Prvním místem výskytu byla Itálie, ale virus se velice rychle rozšířil do Německa, Španělska a Nizozemí. Prozatím není evidován výskyt mimo Evropskou unii.
K infikování počítače dochází pomocí populární kombinace sociálního inženýrství a phishingu. Po kliknutí na infikovaný odkaz se stáhne první část Eurograbberu, který se tiše usídlí v počítači a čeká na příležitost. Ta přijde v momentě, kdy se nic netušící oběť připojí na svůj bankovní účet. Trojan, který je tvořen variantami škodlivého kódu Zeus, SpyEye a CardBerp, rozpozná přihlášení a zahájí další fázi útoku.
Všichni víme, že k platební transakce je potřeba kód z SMS zprávy tzv. TAN neboli Transaction Authentication Number. Eurograbber obsahuje velice sofistikovanou metodu, jako ho získat a zneužít pro ilegální odeslání peněz. Pod záminkou bezpečnostního upgradu je oběť, po přihlášení na bankovní účet, přinucena vyplnit do podvodného formuláře telefonní číslo, na který se po potvrzení „bezpečnostního upgradu" stáhne další část Eurograbberu, varianta trojanu ZITMO (Zeus In The Mobile). Ten je určen, aby zachytával SMS zprávy obsahující TAN kód. Pak už Eurograbberu nic nebrání v odeslání určené částky na útočníkův bankovní účet.
Celý proces od nakažení počítače až po odeslání peněz je náročný na provedení, proto byl útočníky zřízen řídící C&C server, který celý proces řídil, kontroloval a také ukládal získané informace do SQL databáze pro další použití. Pro ztížení detekce, používali útočníci různé doménové názvy a proxy servery.
Jak podobným útokům čelit? Není nic jednoduššího než používat selský rozum a při jakékoli podezřelé aktivitě v rámci internetového bankovnictví kontaktovat danou banku a ověřit si, že požadovaný bezpečnostní upgrade je opravdu nutný.
Podrobnou analýzu Eurograbberu si můžete prohlédnout zde.
Převzato ze stránek www.eset.cz