Троянец для российских банков

По сообщению компании «Доктор Веб», ее специалисты исследовали очередную троянскую программу – Trojan.Proxy2.102. Это ПО предназначено для кражи денег с банковских счетов, причем использует для этого достаточно простой метод. Запустившись на атакуемом устройстве, троянец устанавливает в системе корневой цифровой сертификат и изменяет настройки соединения с Интернетом, прописывая в них адрес принадлежащего злоумышленникам прокси-сервера.

С этого момента любые обращения браузера к Web-страницам системы интернет-банкинга нескольких ведущих российских кредитных организаций осуществляются через прокси-сервер киберпреступников. С его помощью при открытии на инфицированном компьютере в страницы систем «банк-клиент» встраивается постороннее содержимое, позволяющее похищать деньги со счетов жертвы. В настоящий момент установлено, что Trojan.Proxy2.102 способен подменять содержимое следующих банковских ресурсов: online.sberbank.ru, online.vtb24.ru и online.rsb.ru. Поскольку троянец предварительно устанавливает на зараженном компьютере поддельный цифровой сертификат, с использованием которого подписывает соответствующие Web-страницы, пользователь не сможет вовремя заметить подмену.

После успешной установки троянец отправляет сообщение об этом событии на управляющий сервер. Поскольку он никак не регистрирует себя в автозагрузке, после выполнения вредоносных действий троянец переходит в бесконечный спящий режим. Антивирус Dr.Web успешно обнаруживает и удаляет вредоносную программу Trojan.Proxy2.102.