Összefoglaló
A Bankrif trójai internetes banki csalásokban kaphat szerepet. A jelenlegi variánsa elsősorban dél-koreai bankok ügyfeleinek adataira, illetve pénzére pályázik, de mindez nem jelenti azt, hogy a későbbiekben esetlegesen megjelenő variánsai nem állíthatnának célkeresztbe más országokban működő pénzintézeteket.
Leírás
A trójai elsősorban akkor tud károkat okozni, ha olyan banki weboldalra történő jogosulatlan belépést kell támogatnia, amely az authentikációt helyileg lementett digitális tanúsítványokkal teszi lehetővé. Ezeket a tanúsítványokat tulajdonítja el, majd az érintett banki oldalak esetében további manipulációkat hajt végre. Ennek során scripteket szúr be az érintett weblapokba.
A Bankrif egy vezérlőszerverre tölti fel a tanúsítványokat. Ennek a kiszolgálónak az IP-címét a Pinterestről szerzi be, így a támadóknak lehetőségük van arra, hogy a szerverüket folyamatosan “mozgassák”.
Technikai részletek:
1. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”MyKB” = “[a trójai elérési útvonala]”
2. Vezérlőszerverekhez tartozó IP-címeket kérdez le a Pinteresten keresztül.
3. Tanúsítványokhoz tartozó fájlokat próbál összegyűjteni az alábbi mappákból:
%ProgramFiles%NPKI
%SystemDrive%Documents and SettingsAll UsersApplication DataLocalLowNPKI
4. Amennyiben talál digitális tanúsítványt, akkor azt FTP-n keresztül feltölti a Pinterestről beszerzett információk alapján.
5. Kártékony scripteket tölt le, amelyeket beszúr egyes banki weboldalakba.
6. Blokkolja egyes weblapok letöltését.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: www.isbk.hu