„Operation Emmental” kampány – Rések az online bankolásban

Egy rosszindulatú kampányra derült fény, amely világszerte a pénzügyi intézmények online banki rendszereit célozza.

A Trend Micro közzétett jelentésében egy “Operation Emmental”-nak nevezett hacker kampányról számol be, amely bankszámlákat céloz meg egy sokoldalú – a pénzügyi szervezet 2-faktoros ügyfél hitelesítését megkerülő – támadással.

A kutatók forráskód-elemzése során orosz – román eredetre utaló nyomokat találtak.

A rosszindulatú kampány egy hamis, magát álcázó, jól ismert szervezet általi email küldésével kezdődik, amely egy látszólag ártalmatlan Control Panel (.CPL) csatolmányt tartalmaz Ezen malware juttatja be a rosszindulatú kódot, amely Windows frissítésnek látszik.

Miután a malware megfertőzöte a gépet, az áldozatokat átirányítja támadók által vezérelt tartományra, a készülék Domain Name System (DNS) beállítás módosításával. Amikor a banki ügyfelek megpróbálják elérni banki honlapokat, akkor átirányítja őket egy adathalász oldalra. A szakértők 34 pénzügyi intézményi támadást felfedeztek fel, amelyek közül 16 Svájcban, 7 Svédországban, 6 Ausztriában és 5 Japánban történt.

A támadók egy másik trükköt is használnak adathalász tevékenységük hatékonyságának növelésére. A malware telepít egy új Secure Sockets Layer (SSL) tanúsítványt is, amely megakadályozza webböngészőt abban, hogy figyelmeztesse az áldozatokat, hogy adathalász weboldalra kerültek.

Az „Operation Emmental” kampányt irányító bűnözők, adathalász támadásokkal gyűjtik össze a banki ügyfelek személyes és más érzékeny adatait. Ezek a felhasználónév, bankszámlaszám, PIN-kód, és minden hitelesítési folyamathoz szükséges információ. A támadók a banki 2-faktoros hitelesítési folyamat végrehajtásának kikerülése érdekében ráveszik az áldozatokat egy rosszindulatú Android alkalmazás telepítésre, amely olyannak tűnik, mintha a megcélzott bankok készítették volna. Az alkalmazás ad felhasználóknak egy hitelesítő kódot, amelyet meg kell adni a hamis weboldalon, hogy a hitelesítés folyamat teljes körű legyen. A valóságban ez csak egy trükk, hogy felhasználók, telepítsék a rosszindulatú alkalmazás a mobil eszközeikre.

A támadók rosszindulatú app-ja elfogja a banki SMS-ben küldött tokeneket, és továbbítja azokat a C&C szerverre. A bűnözők a tokeneket, valamint az összes többi, az adathalász kampányban összegyűjtött adatot a hitelesítési folyamat megkerülésére használják fel.

 

Forrás és további információk:

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-finding-holes-operation-emmental.pdf

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-finding-holes-operation-emmental.pdf

http://securityaffairs.co/wordpress/26134/cyber-crime/phishing-goes-mobile-cloned-banking-app-google-play.html

http://securityaffairs.co/wordpress/15786/security/two-factor-authentication-for-smbs.html

http://securityaffairs.co/wordpress/24895/hacking/detection-mitm-forged-ssl-certificates.html

http://securityaffairs.co/wordpress/8867/security/to-be-or-not-to-be-this-is-authentication.html