Un fatto curioso - le banche israeliane non sono stato preso di mira da malware bancario. Finora. i ricercatori di Kaspersky hanno recentemente scoperto il primo Trojan bancario fare proprio questo, mira banche israeliane. Il Trojan è stata soprannominata ATMZombie.
ATMZombie applica la ben nota tecnica di proxy-cambiando per fiutare il traffico verso le pagine bancari. Dopo una serie di attività dannose, soldi vittime vengono recuperati dal bancomat dai cosiddetti money mule.
Di più Bancomat Malware
Come funziona ATMZombie lavoro?
Uno dei metodi impiegati da ATMZombie è noto come proxy-cambio ed è ampiamente utilizzato per l'ispezione dei pacchetti HTTP. Essenzialmente, modifiche del proxy comportano la modifica delle configurazioni proxy del browser e afferrando il traffico tra il client e il server. In questo caso, delega cambiando agisce molto simile a un man-in-the-middle tipo di attacco.
Di più botnet bancari
Gli aggressori hanno anche trovato un modo per lo streaming di dati bancari e rompendo così il traffico HTTPS mediante l'emissione di proprio certificato, incorporato nel Trojan dropper e implementato nel autorità di certificazione (CA) lista sul computer della vittima.
Infatti, proxy-cambio non è una tecnica rivoluzionaria di attacchi malware. Come già accennato, proxy-cambio è tutto su come modificare i file di configurazione di proxy del browser e sostituzione di file di auto-configurazione proxy predefinito del suo navigatore web (o file PAC).
Nel caso di ATMZombie, i file PAC maligni canale di traffico del browser attraverso il nodo intermediario dell'attaccante.
I ricercatori descrivono la prossima fase del l'attacco come una fase modalità manuale perché è limitata solo alle banche israeliane. Ciò è dovuto ad un servizio locale che consente al proprietario conto bancario per trasferire denaro ad altri senza conti bancari o carte di credito.
I ricercatori ritengono aggressori sono i locali
gli operatori di ATMZombie utilizzano credenziali bancarie rubate per accedere a conti delle vittime e inviare piccoli pagamenti ai loro cosiddetti ‘money mule’. Gli operatori di malware utilizzano il servizio di transazione SMS implementata solo da banche israeliane.
Di più Rubare credenziali bancarie
Secondo Kaspersky, diverse banche israeliane e centinaia di persone sono state attaccate dal Trojan. L'unica buona notizia è che il metodo utilizzato dai creatori di ATMZombie non permette loro di ritirare grosse somme di denaro. Non c'è un pagamento più grande di $750.
Tenendo presente che gli attacchi di ATMZombie sono molto specifici per il sistema bancario israeliano, è facile supporre che i criminali sono anche locali. Inoltre, l'impiego di ATM money mule illustra che il gruppo criminale non funziona a livello internazionale. gruppi di criminalità informatica di lavoro a livello internazionale non userebbe money mule.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: