Троянец меняет опции интернет-браузеров жертвы так что, что в ходе работы с технологией «Банк-Клиент» пользовательский трафик устремляется через принадлежащий мошенникам компьютер, что дает возможность им красть значительные данные, рассказали в противовирусной компании «Врач Web».
Вредная платформа Trojan.Socks.23968 сделана злодеями для установки в инфицированной системе прокси-сервера в целях перехвата секретной информации при функционировании с технологиями дистанционного банковского сервиса нескольких отечественных банков. Запустившись на ПК жертвы, троянец меняет характеристики сетевого объединения, прописывая в них сноску на план автоматической опции. По данной сноске на зараженный персональный компьютер грузится документ, с применением которого объединение инфицированного ПК с Сетью интернет проводится через принадлежащий мошенникам прокси-сервер. Прокси-сервер, к тому же, перенаправляет жертву на фальшивую страничку системы «Банк-Клиент», имеющую фигуру для ввода логина и пароля.
Технология «Банк-Клиент» отечественного банка, который первым был подвержен атаке, применяет при объединении с клиентом предохраненный акт Http. С целью маскировки сеанса связи с фальшивым кредитным компьютером свежий троянец ставит в технологию самоподписанный цифровой сертификат. Так что, страничка системы «Банк-Клиент», которую открывает в собственном интернет-браузере жертва троянца, имеет похожий на подлинный URL, схожее с ним декорирование, само же объединение проводится по закодированному протоколу Http. В последние годы экспертами компании «Доктор Веб» были установлены факты установки троянцем свежих цифровых сертификатов, а в роли задач для атак обнаружено еще несколько банковских систем.
Приметным прецедентом считается то, что даже после общего снятия Trojan.Socks.23968 из системы в опциях интернет-браузеров остаются записанные троянцем перемены, потому клиент будет жертвой мошенников даже в случае, если сам троянец был истреблен противовирусным ПО.