Bankrif

CH azonosító

CH-11853

Angol cím

Bankrif

Felfedezés dátuma

2014.12.03.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Bankrif trójai internetes banki csalásokban kaphat szerepet. A jelenlegi variánsa elsősorban dél-koreai bankok ügyfeleinek adataira, illetve pénzére pályázik, de mindez nem jelenti azt, hogy a későbbiekben esetlegesen megjelenő variánsai nem állíthatnának célkeresztbe más országokban működő pénzintézeteket.

Leírás

A trójai elsősorban akkor tud károkat okozni, ha olyan banki weboldalra történő jogosulatlan belépést kell támogatnia, amely az authentikációt helyileg lementett digitális tanúsítványokkal teszi lehetővé. Ezeket a tanúsítványokat tulajdonítja el, majd az érintett banki oldalak esetében további manipulációkat hajt végre. Ennek során scripteket szúr be az érintett weblapokba.

A Bankrif egy vezérlőszerverre tölti fel a tanúsítványokat. Ennek a kiszolgálónak az IP-címét a Pinterestről szerzi be, így a támadóknak lehetőségük van arra, hogy a szerverüket folyamatosan “mozgassák”.

Technikai részletek:

1. A regisztrációs adatbázishoz hozzáadja a következő értéket:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”MyKB” = “[a trójai elérési útvonala]”

2. Vezérlőszerverekhez tartozó IP-címeket kérdez le a Pinteresten keresztül.

3. Tanúsítványokhoz tartozó fájlokat próbál összegyűjteni az alábbi mappákból:
%ProgramFiles%NPKI
%SystemDrive%Documents and SettingsAll UsersApplication DataLocalLowNPKI

4. Amennyiben talál digitális tanúsítványt, akkor azt FTP-n keresztül feltölti a Pinterestről beszerzett információk alapján.

5. Kártékony scripteket tölt le, amelyeket beszúr egyes banki weboldalakba.

6. Blokkolja egyes weblapok letöltését.