Win32/Bayrob - vaše finance opět v ohrožení

  |   Virus Lab

Podobně jako obchodníci cyklicky opakují výprodejové slevy, i tvůrci malwaru se snaží opakovaně získat další „zákazníky“. Těmto cyklům říkáme malware kampaně.

1454072991_images.jpg

V poslední době společnost ESET zaznamenala malware kampaň škodlivého kódu Win32/Bayrob. Jde o trójského koně, který začal intenzivně útočit zhruba v půli prosince loňského roku.

Podobně jako mnohé další hrozby i Bayrob je distribuován pomocí infikovaných příloh v e-mailech. Tvůrci vše zabalili do sociálně inženýrského obalu společnosti Amazon, takže uživatel našel v e-mailové schránce na první pohled důvěryhodný e-mail. Při pozornějším zkoumání však bylo jasné, že jde o podvod. Adresa odesílatele neměla s Amazonem zcela nic společného.

o1

Zdroj obrázku: welivesecurity.com

Dalším varování bylo, že příloha obsahovala spustitelný soubor. Pokud na něj uživatel kliknul a nezafungoval rezidentní štít antivirového programu, na obrazovce se objevila hláška o tom, že soubor nelze spustit.

o2

Zdroj obrázku: welivesecurity.com

Upozornění však mělo za úkol uživatele pouze ujistit, že se nic nestalo. Ve skutečnosti se však už rozjel na počítači klasický malware kolotoč. Bayrob se zaregistroval jako systémová služba a upravil systémové registry tak, aby si zajistil opětovné spuštění při každém zapnutí počítače.

Jako u většiny malware kampaní z poslední doby, je i Win32/Bayrob pouze vstupní branou do počítače uživatele. Proto se ihned po úspěšné infekci snaží připojit k řídícímu serveru (ten je pod kontrolou útočníka) a postupně začne do infikovaného počítače stahovat další škodlivý kód. To může později vést například k phishigovým útokům při používání internetového bankovnictví a v konečném důsledku třeba k vykradení bankovního účtu, Paypalu a podobně.

Win32/Bayrob řádil hlavně v bohatších koutech světa – v Evropě, Jižní Africe, Austrálii a na Novém Zélandě, což je logický důsledek faktu, že se snažil imitovat e-maily Amazonu.

bayrob3

Zdroj obrázku: welivesecurity.com

V této souvislosti je zajímavé, že z nějakého důvodu vůbec neútočil na další lukrativní trh – USA. Možná si chtěli tvůrci nejprve otestovat úspěšnost kampaně, vylepšit „nedostatky“ a k útoku dojde v dalších měsících tohoto roku. Uvidíme.


Dvojklik