Trojan.Proxy.23968 - новый банковский троян


Trojan.Proxy.23968 - троян, представляющий опасность для пользователей систем дистанционного банковского обслуживания (интернет-банкинга) в России. Троян изменяет настройки браузеров жертвы так, что в процессе работы с системой "Банк-Клиент" пользовательский трафик направляется через принадлежащий злоумышленникам сервер, что позволяет им воровать важные данные.

Trojan.Proxy.23968 - создан для установки в инфицированной системе прокси-сервера с целью перехвата конфиденциальной информации при работе с системами дистанционного банковского обслуживания нескольких российских банков.

Запустившись на компьютере жертвы, троян изменяет параметры сетевого соединения, прописывая в них ссылку на сценарий автоматической настройки. По этой ссылке на инфицированный компьютер загружается файл, с использованием которого соединение зараженного ПК с Интернетом осуществляется через принадлежащий злоумышленникам прокси-сервер. Прокси-сервер, в свою очередь, перенаправляет жертву на поддельную страницу системы "Банк-Клиент", содержащую форму для ввода логина и пароля.

Система "Банк-Клиент" российского банка, который первым подвергся атаке, использует при соединении с пользователем заищенный протокол HTTPS. В целях маскировки сеанса связи с поддельным банковским сервером новый троян устанавливает в систему самоподписанный цифровой сертификат. Таким образом, страница системы "Банк-Клиент", которую открывает в своем браузере жертва трояна, имеет похожий на оригинальный URL, идентичное с ним оформление. Само же соединение осуществляется по зашифрованному протоколу HTTPS. В последнее время специалистами по безопасности были зафиксированы факты установки трояном новых цифровых сертификатов, а в качестве целей для атак выявлено еще несколько банковских систем.

Internet Properties Certifikates

Даже после полного удаления Trojan.Proxy.23968 из системы в настройках браузеров остаются внесенные трояном изменения, поэтому пользователь может стать жертвой злоумышленников даже в том случае, если сам троян был уничтожен антивирусным ПО.