Hrozba, kterou Eset označil jako JS/Spy.banker.G, také zneužívala ke shromažďování informací o obětech brazilský vládní server. Trojan navíc využíval pluginy v prohlížeči Google Chrome, jejichž prostřednictvím měl krást uživatelům data.
Mezi údaje, které tento škodlivý kód získával, patřila brazilská osobní identifikační čísla, hesla, PIN kódy nebo čtyřmístná ověřovací čísla ke kreditním kartám a číslům bankovních účtů, uvádí Eset.
Analýza Esetu, spolupráce s brazilskými úřady a firmou Yahoo! pomohly tuto hrozbu zastavit.
„V tomto případě škodlivý kód využíval server, aniž by ho musel infikovat, neboť server postrádal adekvátní ochranu před zneužitím ze strany třetích osob. V důsledku toho kyberzločinci zůstávali anonymní a mohli se pokusit o přístup ke všem možným funkcím poskytovaným legitimním serverem. Vzhledem k důvěryhodnému jménu serveru se rozptýlilo jakékoli podezření,“ vysvětlil v tiskovém oznámení Sebastian Bortnik, manažer pro výzkum a vzdělávání společnosti Eset pro Jižní Ameriku.
Sociální inženýrství pomohlo k šíření
Škodlivý spustitelný soubor se údajně šířil pomocí technik sociálního inženýrství, aby se dostal mezi co největší počet uživatelů. Jde o tzv. dropper, škodlivý program, který byl vytvořen k tomu, aby do cílového systému nainstaloval další složky, díky čemuž dosáhne hrozba plné operační schopnosti, vysvětluje Eset.
Škodlivý kód, který byl podroben analýze Esetu, byl vytvořen v platformě .NET. „Skutečnost, že malware používá ke krádežím dat pluginy Google Chrome, má přímý dopad na oběť, neboť v tomto případě není napaden operační systém, ale samotný prohlížeč,“dodal Bortnik fungování malwaru.
Kompletní technickou analýzu tohoto malwaru naleznete v dokumentu „Co mají společného bankovní trojan, Chrome a vládní poštovní server“, který naleznete na stránce WeLiveSecurity.com.
Zdroj: Eset
