Trojan navíc využíval pluginy v prohlížeči Google Chrome, jejichž prostřednictvím kradl uživatelům data. Mezi údaje, které tento škodlivý kód získával, patřila brazilská osobní identifikační čísla, hesla, PIN kódy nebo čtyřmístná ověřovací čísla ke kreditním kartám a číslům bankovních účtů.
„V tomto případě škodlivý kód využíval server, aniž by ho musel infikovat, neboť server postrádal adekvátní ochranu před zneužitím ze strany třetích osob. V důsledku toho kyberzločinci zůstávali anonymní a mohli se pokusit o přístup ke všem možným funkcím poskytovaným legitimním serverem. Vzhledem k důvěryhodnému jménu serveru se rozptýlilo jakékoli podezření,“ říká Sebastian Bortnik, manažer pro výzkum a vzdělávání společnosti Eset pro Jižní Ameriku. Eset označil tohoto zvláštního bankovního trojského koně jako JS/Spy.banker.G.
Škodlivý spustitelný soubor se šířil pomocí technik sociálního inženýrství, aby se dostal mezi co největší počet uživatelů. Jedná se o tzv. dropper, škodlivý program, který byl vytvořen k tomu, aby do cílového systému nainstaloval další složky, díky čemuž dosáhne hrozba plné operační schopnosti. Škodlivý kód byl vytvořen v populární vývojové platformě .NET.
„Skutečnost, že malware používá ke krádežím dat pluginy Google Chrome, má přímý dopad na oběť, neboť v tomto případě není napaden operační systém, ale samotný prohlížeč,“ přibližuje Bortnik fungování malwaru. Právě plugin prohlížeče je zásadním faktorem pro následnou krádež dat.
PŘEDPLATNÉ
ČLÁNKY DO MAILU