Bankprogramvaran skadas, säkerhetsbyråer varnar

Finansiella skadliga författare försöker att undvika nya säkerhetssystem för nätbanker genom att återvända till mer traditionella phishing-liknande statistikståltekniker, enligt forskare från säkerhetsföretaget Trusteer.

De flesta finansiella trojaner Program som används av cyberkriminella idag är kapabla att manipulera i realtid med online banking sessioner initierade av offer på sina datorer. Detta inkluderar möjligheten att utföra bedrägliga transaktioner i bakgrunden och gömma dem från användaren genom att ändra kontobalans och transaktionshistorik i deras webbläsare.

Därför har banker börjat installera system för att övervaka hur kunder interagerar med sina webbplatser och upptäcka anomalier som kan indikera skadlig programvaruaktivitet. Det verkar dock som om vissa malware skapare återvänder till mer traditionella tekniker som innebär att de stjäl referenser och använder dem från en annan dator för att undvika att detekteras.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Kända trojaner, ny teknik

Trusteerforskare har nyligen upptäckt förändringar i Tinba och Tilon Financial Trojan-program som är utformade för att förhindra att brottsoffret kommer åt de verkliga webbbankernas webbplatser och byter in sina inloggningssidor med skurkversioner.

"När Kunden åtkomst till bankens hemsida, malware presenterar en helt falsk webbsida som ser ut som bankinloggningssidan, säger Trusteers chefstekniker, Amit Klein, torsdag i ett blogginlägg. "När kunden lämnar in sina inloggningsuppgifter till den falska sidan visar malware ett felmeddelande som hävdar att onlinebankstjänsten för närvarande inte är tillgänglig. Under tiden skickar malware de stulna inloggningsuppgifterna till bedrägeriet som använder sig av en helt annan maskin till logga in i banken som kund och genomföra bedrägliga transaktioner. "

Om banken använder multifaktorautentisering som kräver engångslösenord (OTP), frågar malware även om den här informationen på den falska sidan.

Denna typ av legitimationsstöld ligner på traditionella phishing-attacker, men det är svårare att upptäcka eftersom webbadressen i webbläsarens adressfält är den verkliga webbplatsen och inte en falsk.

"Det är inte så sofistikerat som att injicera transaktioner i webbanksessioner i realtid, men det uppnår sitt mål att undvika detektering, säger Klein.

Denna funktion för fullständig sida ersättning finns i Tinba version 2, vilken Trusteer-forskare nyligen har du upptäckte och analyserade. Malware kommer med stöd för Google Chrome och försöker begränsa nätverkstrafiken genom att lagra bilder som laddas på den falska sidan lokalt.

Redan i bruk

Enligt Trusteer-forskarna används Tinba v2 redan i attacker som riktar sig mot stora finansiella institutioner och konsumentwebbservicer.

"Banker har alltid mött två attackvektorer i online-kanalen," sade Klein. "Den första är legitimationsstöld. Det finns olika sätt att utföra denna typ av attack, inklusive malware, pharming och phishing. Den andra attackvektorn är sessionskapning som uppnås genom skadlig kod. Dessa två vektorer kräver två olika lösningar."

Banker ska se till att de har skydd mot båda attackerna, annars kommer cyberkriminella att snabbt anpassa sina tekniker, sade Klein. "Du kan inte lägga ett lås på din dörr och lämna fönstret öppet."