Rada Bankowości Elektronicznej Związku Banków Polskich ostrzega przed nowym rodzajem ataku, na klientów korzystających z bankowości internetowej. Atak jest przeprowadzany z wykorzystaniem trojana Banatrix i polega na przeszukiwaniu przez trojan pamięci procesów przeglądarek internetowych: Chrome, Internet Explorer, Firefox oraz Opera w celu znalezienia ciągu liczb, który odpowiada numerowi rachunku bankowego, a następnie zamianie go na inny numer rachunku podstawiony przez przestępców.

W efekcie, na stronach internetowych banków zostają zamienione wszystkie numery polskich  rachunków bankowych. Osoba, która nie zauważy tej zmiany może przelać środki na inny rachunek bankowy wykorzystywany przez cyberprzestępców.

żródło: Związek Banków Polskich

W przeciwieństwie do trojana, o którym głośno było rok temu, o nazwie Banapter, który podmienia skopiowany numer konta bankowego na numer konta przestępcy podczas wklejania go na stronie banku metodą "kopiuj / wklej" - ten o nazwie Banatrix potrafi zamienić numer rachunku przy wpisywaniu go „z palca”.
Złośliwy program przeszukuje pamięć uruchomionej przeglądarki pod kątem 26-cyfrowych ciągów (zapisanych ze spacjami bądź bez). Jeśli znajdzie taki ciąg to podmienia go na inny, pobrany z serwera przestępców. Powoduje to, że numer konta może zmienić się “na oczach” użytkownika podczas wpisywania go na stronie banku.

Szczegóły działania trojana Banatrix opisane zostało na stronie: http://www.cert.pl/news/8999

Updatae 15/12/2014. Na stronie internetowej CERT Polska pojawił sie kolejny artykuł na temat działania trojana Banatrix. Zachęcamy do zapoaznania się z nim:

Ze wszystkich “polskich” rodzin malware, które zaobserwowaliśmy w zeszłym roku, najbardziej zaawansowaną technicznie był Banatrix. Malware ten podmieniał numer konta w pamięci procesu przeglądarki. Jednak jego budowa pozwalała na dużo więcej i zostało to wykorzystane do wykradania zapisanych w przeglądarce Mozilla Firefox haseł. Poniżej znajduje się omówienie szczegółów technicznych działania oraz szczegóły dotyczące infrastruktury serwera C&C tego złośliwego oprogramowania. W komunikacji z serwerem C&C wykorzystywana jest sieć TOR co utrudnia zarówno namierzenie sprawcy jak i unieszkodliwienie serwera sterującego. Czytaj całość: www.cert.pl/news/9565