Cercetătorii Kaspersky Lab au detectat NukeBot, un nou program malware creat pentru a fura datele de identificare ale clienților de online banking. În industria de securitate erau cunoscute versiuni anterioare ale acestui troian, ca TinyNuke, dar acestora le lipseau caracteristicile cerute pentru a lansa atacuri. Ultimele versiuni, însă, sunt complet funcționale și conțin codul necesar pentru a ataca utilizatorii anumitor bănci.
Chiar dacă apariția unei noi familii malware nu este ceva neobișnuit, faptul că infractorii au o versiune a troianului, gata de atac, înseamnă că în curând s-ar putea să inițieze o campanie malware la scară largă, pentru a infecta utilizatorii. Kaspersky Lab a publicat o scurtă analiză a acestui program malware, pentru a-i avertiza din timp pe clienții săi și pe ceilalți utilizatori.
NukeBot este un troian bancar. În momentul infectării, “injectează” codul malware pe pagina web a unui serviciu de online banking afișat în browser-ul victimei și apoi fură datele utilizatorului și păcălește sistemul de autentificare. Potrivit cercetătorilor Kaspersky Lab, există deja un număr de mostre ale acestui troian, distribuite pe forumuri de hacking. Majoritatea acestora sunt variante în lucru, de-abia funcționale, dar experții au reușit să identifice și unele ce reprezintă o reală amenințare.
În jur de 5% dintre toate mostrele găsite de Kaspersky Lab sunt reprezentate de noile “versiuni de luptă” NukeBot, care și-au îmbunătățit codurile sursă și capacitatea de atac. Printre altele, aceste versiuni conțin elemente de cod care imită interfața unor servicii reale de online banking. Pe baza analizei acestor fragmente, experții Kaspersky Lab consideră că principalele ținte ale noii versiuni Nuke Bot sunt utilizatorii mai multor bănci din Franța și SUA.
In plus, cercetătorii Kaspersky Lab au reușit să detecteze mai multe variante de NukeBot care nu aveau funcționalitatea celor de mai sus și erau create pentru a fura parole de e-mail și browser. Acest lucru poate însemna că dezvoltatorii noilor versiuni intenționează să lărgească funcționalitatea acestei familii malware.
“Chiar dacă infractorii din spatele recentelor versiuni ale acestui malware nu distribuie activ NukeBot, este foarte probabil ca lucrurile să se schimbe în curând”, spune Sergey Yunakovsky, security expert la Kaspersky Lab. “Am mai văzut situații similare cu alte familii malware: după o scurtă perioadă de testare a unui program pregătit să atace, infractorii încep să îl distribuie prin intermediul site-urilor infectate, prin spam și prin phishing. Până acum, am văzut versiuni de NukeBot care au tot ce le trebuie pentru a-i ataca pe clienții a cel puțin șase bănci situate în Franța și SUA, dar această listă pare să fie doar începutul. Scopul scurtei noastre cercetări este să avertizeze comunitatea bancară și clienții de online banking despre o potențială amenințare în curs de apariție. Le recomandăm tuturor părților interesate să folosească rezultatele cercetării noastre pentru a se proteja înaintea ca această amenințare să acționeze.”
Pentru protecția împotriva atacurilor NukeBot, specialiștii în securitate Kaspersky Lab au următoarele sfaturi:
Pentru organizațiile financiare care oferă servicii de online banking:
- Asigurați-vă că aveți o soluție eficientă de prevenire a fraudei activată, ca să puteți detecta rapid utilizarea neautorizată a conturilor clienților și activitatea financiară neobișnuită.
Pentru clienții serviciilor de online banking:
- Folosiți o soluție de securitate cu tehnologii personalizate, care să protejeze tranzacțiile financiare, cum este Safe Money , de la Kaspersky Lab.
- Faceți periodic un scan al sistemului pentru a detecta posibile infectări.
Produsele Kaspersky Lab detectează acest malware ca Trojan-Banker.Win32.TinyNuke.