Trusteer: Троян штурмует 2-й эшелон банковской обороны

TrusteerЭкспертами компании Trusteer была зафиксирована новая атака банковского трояна Tatanga. В ходе этой атаки, направленной на перехват одноразовых кодов, создаваемых с помощью персонального TAN-генератора, используются методы социальной инженерии. TAN-коды (Transaction Authorization Number) используются в системах онлайн-банкинга как дополнительный уровень защиты от мошенничества при проведении операций по клиентским счетам.

Это одноразовые пароли, создаваемые для каждой транзакции. Их ввод призван подтвердить аутентичность лица, зарегистрировавшегося в системе, и дает банку "добро" на завершение транзакции.

В банковской среде существует много разных процедур подтверждения транзакций одноразовым паролем. В Германии, например, большой популярностью пользуются mTAN (код высылается клиенту в виде SMS) и chipTAN - система, предусматривающая наличие у клиента персонального TAN-генератора. Последний создает одноразовый пароль на основе мигающей картинки, появляющейся при заходе на банковский сайт, которую он считывает прямо с экрана ПК.

Злоумышленник может с помощью фишинга выудить у пользователя и его регистрационные данные, и TAN-код. Однако последний действителен лишь для одной транзакции, и грабителю нужно успеть им воспользоваться, пока этот короткий срок не истек, причем так, чтобы жертва не обнаружила кражу. Современные фишеры решают эту проблему с помощью троянов, способных на лету подменять банковские страницы по методу html-инъекций и оперировать украденными данными в пользу своих хозяев (Man in the Browser, MitB-атаки).

Ярким представителем таких программ-перехватчиков является семейство Tatanga, появившееся на интернет-арене в начале прошлого года. По свидетельству экспертов испанской S21sec, Tatanga

  • наделен MitB-функционалом;
  • использует руткит-технологии;
  • способен по удаленной команде блокировать антивирус;
  • работает практически со всеми браузерами совместимыми с Windows;
  • не терпит соседства конкурентов.


Данный зловред предпочитает атаковать клиентов европейских банков, а особенно немецких.

В мае Trusteer обнаружила атаку Tatanga, запрашивающего у жертвы TAN-код, присланный банком по SMS-каналам. Предлогом для фальшивого запроса, сделанного от имени банка, служила проверка системы двухфакторной аутентификации, якобы проводимая банком. Вариант зловреда, обнаруженный в начале сентября, использует ту же тему. Однако немецкоязычный текст, размещенный на подставной странице, подробно инструктирует жертву, как создать одноразовый пароль для "тестовой" транзакции с помощью личного TAN-генератора. Пользователя просят ввести этот пароль в веб-форму, что дает Tatanga возможность скрытно провести мошенническую транзакцию. Чтобы клиент банка не обнаружил недостачу, зловред подменяет информацию о состоянии счета, присланную банком по завершении сеанса.


Обновлено (11.09.2012 01:43)