Eine merkwürdige Tatsache - israelischen Banken sind nicht von Bank Malware gezielt worden. Bis jetzt. Kaspersky Forscher haben vor kurzem entdeckt die erste Trojan-Banking genau das zu tun, Targeting israelischen Banken. Der Trojaner wurde genannt ATMZombie.
ATMZombie gilt die bekannte Proxy-Wechsel-Technik Verkehr erschnüffeln zu Bankseite. Nach einer Reihe von bösartigen Aktivitäten, Opfer Geld von Geldautomaten durch den sogenannten Money Mules abgerufen.
Mehr über ATM Malware
Wie funktioniert ATMZombie Arbeit?
Einer der von ATMZombie angewandten Methoden als Proxy-Wechsel bekannt und wird für Inspektionen von HTTP-Paketen weit verbreitet. Im Wesentlichen, Proxy-Änderungen betreffen die Änderung der Proxy-Konfigurationen des Browsers und die Beschlagnahme der Datenverkehr zwischen dem Client und dem Server. In diesem Fall, Proxy-Wechsel wirkt ähnlich wie eine Man-in-the-Middle-Art des Angriffs.
Mehr über Banking Botnets
Angreifer fanden auch eine Art und Weise Bankdaten zu streamen und damit HTTPS-Datenverkehr zu brechen durch ihr eigenes Zertifikat ausstellt, in der Dropper-Trojaner eingebettet und in der Stammzertifizierungsstelle implementiert (CA) Liste auf dem Computer des Opfers.
Tatsächlich, Proxy-Wechsel ist keine revolutionäre Technik in Malware-Attacken. Wie bereits erwähnt, Proxy-Wechsel ist alles über den Browser des Proxy-Konfigurationsdateien ändern und ersetzt den Standard-Proxy Auto-Config-Dateien des Browsers (oder PAC-Dateien).
Im Fall von ATMZombie, die bösartigen PAC-Dateien des Verkehrs Browser Kanal durch den Transitknoten des Angreifers.
Die Forscher beschreiben die nächste Stufe des Angriffs als ein manueller Modus Bühne nur an den israelischen Banken, weil sie begrenzt ist. Dies ist auf einen lokalen Dienst, der die Bankkontoinhaber ermöglicht Geld auf andere zu übertragen, ohne Bankkonten oder Kreditkarten.
Forscher glauben Attackers Einheimischen sind
ATMZombie der Betreiber verwenden gestohlene Bankdaten in den Konten Opfer zu protokollieren und kleine Zahlungen an ihren so genannten ‚Money Mules‘ senden. Die Malware-Betreiber nutzen den Service SMS-Transaktion eingesetzt nur von israelischen Banken.
Mehr über Stehlen Banking Credentials
Laut Kaspersky, mehrere israelische Banken und Hunderte von Menschen wurden von der Trojan angegriffen. Die einzige gute Nachricht ist hier, dass die Methode von ATMZombie Erschaffer verwendete erlaubt sie nicht große Mengen an Geld abheben. Es gibt keine Zahlung größer als $750.
Unter Berücksichtigung, dass ATMZombie Angriffe auf das israelische Bankensystem ganz spezifisch sind, es ist einfach, anzunehmen, dass die Kriminellen auch lokal sind. Weiter, der Einsatz von ATM Money Mules zeigt, dass die kriminelle Gruppe auf internationalen Ebene arbeitet nicht. Cyber-Kriminalität Gruppen international arbeiten würde Money Mules nicht verwenden.