Банковский троян Neloweg
Корпорация Symantec сообщила об угрозе, связанной с банковским трояном Trojan.Neloweg. Эта программа способна украсть данные пользователей, в том числе банковские реквизиты.
Trojan.Neloweg работает таким же образом, как и другой банковский троян, Zeus. Обе программы определяют, на каком сайте находится пользователь, и добавляют туда специальный JavaScript. Но если Zeus использует свой файл конфигурации, то Trojan.Neloweg хранит данные на специальном сервере. При переходе на известную страницу банка Trojan.Neloweg маскирует часть страницы белым цветом, используя скрытый тег DIV, и запускает свой код JavaScript, расположенный на специальном сервере.
Trojan.Neloweg атакует через наиболее популярные из используемых браузеров – Firefox и Internet Explorer, которые используются большинством (более 50%) пользователей. Интересно, что он также атакует браузеры, использующие движки Trident (Internet Explorer), Gecko (Firefox) и WebKit (Chrome/Safari). Существует не так много причин для атаки через другие, не столь распространенные браузеры. Очевидно, что злоумышленники хотят охватить как может больше целей. Вторая причина состоит в том, что некоторые люди специально используют не самые известные браузеры для онлайн-банкинга, чтобы обеспечить дополнительную безопасность.
Троян стремится украсть не только банковские реквизиты, но также другие логины и пароли. Чтобы добиться этого, авторы кода придали браузерам функции ботов.
Теперь браузер может работать как бот и выполнять команды. Он может обработать контент страницы, на которой находится, перенаправить пользователя на другую страницу, украсть пароли, запустить приложение или даже уничтожить себя. Впрочем, функция самоуничтожения несколько избыточна, так она удаляет критически важные системные файлы и не дает пользователю войти в систему.
Способ интеграции в Firefox также уникален: ранее можно было наблюдать угрозы, которые создают вредоносные дополнения браузеров, поэтому пользователи, отключившие плагины, чувствовали себя в безопасности. Но Trojan.Neloweg, будучи компонентом, не отображается на панели расширений Firefox в отличие от других дополнений и плагинов. Более того, используя архитектуру Firefox, Neloweg заново себя создает или устанавливает при каждом подключении Firefox к Интернету.