Новый банковский троян использует Pinterest для соединения с C&C-сервером

Специалисты компании Trend Micro обнаружили новый банковский троян TSPY_BANKER.YYSI, который используется в атаках на пользователей из Южной Кореи. Как сообщают эксперты в блоге корпорации, вредонос распространяется через скомпрометированные web-сайты, перенаправляющие пользователей на страницу, загружающую троян на устройства жертв с помощью наборов эксплоитов. После инфицирования системы вирус отслеживает активность пользователей в интернете и, когда жертва посещает определенные сайты, перенаправляет ее на фишинговые страницы.

По данным исследователей, наибольшей угрозе компрометации подвержены клиенты следующих финансовых учреждений: Hana Bank, Nonghyup Bank, Industrial Bank of Korea (IBK), Shinhan Bank, Woori Bank, Kookmin Bank и Consumer Finance Service Center. Когда жертва посещает сайт банка, троян встраивает в его страницу специальный iframe, загружающий фишинговую страницу. Вредонос способен подменить адрес фальшивой страницы, выдавая его за легитимный.

Вдобавок к этому TSPY_BANKER.YYSI нацелен на пользователей одного из популярных в Южной Корее поисковиков. Когда жертва заходит на главную страницу сайта, троян создает специальное всплывающее окно со ссылками на ресурсы финансовых учреждений.

Перенаправление на фишинговые страницы происходит, если жертва использует Internet Explorer. Поскольку южнокорейское законодательство обязует всех граждан пользоваться услугами online-банкинга и интернет-магазинов исключительно с помощью Internet Explorer, а браузер от Microsoft используют более 75% жителей государства, ситуация выглядит удручающе.

Интересно, что TSPY_BANKER.YYSI использует социальную сеть Pinterest для связи с C&C-сервером. Вместо того, чтобы связаться с ним напрямую, троян заходит на страницу комментариев в соцсети и ищет записи со специальным кодом наподобие 104A149B245C120D. После расшифровки вредонос получает IP-адрес, на котором находится фишинговая страница.

Исследователи проанализировали одну из атак, в ходе которых осуществлялось инфицирование устройств жертв. Оказалось, что киберпреступники пытались проэксплуатировать две уязвимости в браузере Internet Explorer (CVE-2013-2551 и CVE-2014-0322). Код эксплоита был подвержен обфускации, но эксперты пришли к выводу, что он похож на Sweet Orange – набор эксплоитов, который в прошлом использовался для осуществления похожих атак.