Emmental - вредоносная кампания, атакующая Швейцарских пользователей


Trend Micro Mobile SecurityEmmental (Trend Micro) - сложная вредоносная кампания, целью которой является полный контроль над банковскими счетами пользователей в Швейцарии, Швеции, Австрии и Японии. Для этого злоумышленники используют различные инструменты и техники, такие как

  • фишинговые атаки;
  • вредоносное ПО;
  • мошеннические DNS-серверы.


Эксперты считают, что ответственность за осуществление атак несут предположительно русскоговорящие хакеры =FreeMan= и Northwinds. Именно они распространяют преимущественно готовое вредоносное ПО SpyEye и Hermes, начиная с 2011 года.

Основной целью злоумышленников являются клиенты банков, в которых используются SMS-сообщения для двухфакторной аутентификации. Этим клиентам они и отправляют фишинговые электронные письма якобы от имени известных ритейлеров.

В ходе изучения вредоносного ПО специалисты установили, что данный код сам по себе не инфицирует систему жертвы, а лишь изменяет настройки DNS и устанавливает поддельный корневой SSL-сертификат. Благодаря этому вредоносные серверы HTTPS становятся по умолчанию доверенными. В результате, при попытке зайти на сайт банка, пользователь инфицированного компьютера будет перенаправлен на поддельный ресурс, который выглядит один в один с оригиналом.

Другими словами, вся эта кампания выглядит как обычная фишинговая атака. Однако, здесь существует некоторая особенность. А именно: после ввода пользователем своих учетных данных, его просят установить на смартфон приложение.

Эта программа напоминает генератор одноразовых паролей для сессии online-банкинга, однако с той разницей, что его предназначение - перехват SMS-сообщений от банка с кодом для двухфакторной аутентификации с дальнейшей их пересылкой злоумышленникам. Т.е., киберпреступники получают полный контроль над учетной записью пользователя при помощи данного приложения.


Обновлено (26.07.2014 17:54)