Продажи iPhone в России еще только начались, а злоумышленники уже вовсю используют шумиху, созданную вокруг этого популярного девайса, в своих незаконных интересах. Троян, маскирующийся под видео-файл iPhone, является ключевой составляющей новой фарминговой атаки. Наносимый им вред заключается в перенаправлении пользователей, пытающихся получить доступ к своему онлайновому банку, на фальшивые веб-страницы. Главная цель – кража конфиденциальной информации о пользователе.
Прошедшая во многих странах презентация iPhone 3G от Apple используется кибер-преступниками в качестве приманки для привлечения внимания пользователей и заражения их вредоносными кодами.
Последний рассмотренный PandaLabs (лабораторией Panda Security по обнаружению и исследованию вредоносного ПО) случай касается новой фарминговой атаки с использованием трояна Banker.LKC. Жертвы этой атаки внезапно обнаруживали, что их банковские реквизиты оказались в руках кибер-преступников.
Фарминг представляет собой усложненную версию фишинга. Он связан с манипулированием DNS (Domain Name Server) путем конфигурирования протоколов TCP/IP или хост-файла. Серверы DNS отвечают за хранение цифрового адреса или IP- адреса (например, 62.14.63.187.), ассоциирующегося с определенным именем домена или URL (например, www. mibanco.com). В результате вмешательства кибер-преступников происходит следующее: когда пользователь вводит имя нужной ему веб-страницы, сервер перенаправляет его на другой номер, то есть другой IP-адрес, принадлежащий фальшивой веб-странице, своим оформлением напоминающей страницу-оригинал.
В этом случае троян Banker.LKC занимается такими манипуляциями с DNS. Данный вредоносный код внедряется в системы под именем “VideoPhone[1]_exe”. После запуска, стремясь обмануть пользователей, он открывает окно браузера и выводит на экран веб-сайт, на котором якобы продается iPhone (см. рисунок).
Пока пользователи просматривают открывшуюся страницу, троян модифицирует хост-файлы, перенаправляя URL банков и других компаний на фальшивую веб-страницу. Таким образом, пользователи, пытающиеся получить доступ к страницам этих банков путем ввода адреса в строку поиска или при помощи интернет-поисковика, будут перенаправлены на фальшивую страницу. Она запросит конфиденциальную информацию (номер счета, пароль транзакции и т.д.), которая тут же окажется в руках кибер-преступников.
Манипуляции, производимые с хост-файлами, не оказывают побочного влияния на компьютер и поэтому не вызывают подозрений. В сущности, все мошеннические операции протекают без подозрений пользователей потому, что для того, чтобы пасть жертвой атаки нужно всего лишь попытаться ввести адрес банка. Это обстоятельство делает атаку еще более опасной.
“Кибер-преступники не скрывают своих намерений использовать собранную информацию для опустошения счетов пользователей”, объясняет Луис Корронс, технический директор PandaLabs. “В данном случае iPhone используется в качестве приманки к запуску файлов, содержащих вредоносный код”.