Компания Trend Micro, производитель антивирусов, выявила новый финансовый троян, который включает в себя снифер исходящего трафика для получения учётных данных к банковским веб-сайтам.
Классические банковские троянские программы получают персональные сведения при помощи инъекций в поля форм на банковских веб-сайтах после того, как юзер там выполнил авторизацию, или фишинга. Жертва считает, что вводит сведения для банковского перевода по необходимому адресу, но по факту происходит совсем иная транзакция.
Банковский троян Emotet работает иначе. Учётные данные он извлекает прямо с HTTPS трафика, при помощи вмонтированного снифера, который постоянно расположен в памяти и анализирует посещаемые URL-ы, и, только URL совпал с экономическим ресурсом — по сетевым интерфейсам pr_write, pr_close, pr_opentcpsocket, pr_getnameforindentity, closesocket, wsasend и connect send начинается пакетный перехват.
Подобный метод для жертвы будет менее заметен, потому как она взаимодействует с настоящим банковским веб-сайтом и ей в веб-браузер не подсовывают фишинговые формы. Emotet сохраняет обнаруженные данные в закодированном виде в системном реестре windows, возможно, дабы не порождать новых файлов.
В компании Trend Micro пока ещё не поняли, каким образом троян отсылает собранные данные хозяину и присутствует ли такая функциональность в принципе, а поэтому вирусной программе Emotet пока присвоен низкий уровень опасности.
http://blog.trendmicro.com/trendlabs-security-intelligence/new-banking-malware-uses-network-sniffing-for-data-theft/