Новый троян подменяет содержимое сайтов российских банков

Специалисты «Доктор Веб» исследовали троянскую программу Trojan.Proxy2.102. Как сообщили CNews в компании «Доктор Веб», троян предназначен для кражи денег с банковских счетов и использует для этого достаточно простой метод. Запустившись на атакуемом устройстве, вредонос устанавливает в системе корневой цифровой сертификат и изменяет настройки соединения с интернетом, прописывая в них адрес принадлежащего злоумышленникам прокси-сервера. С этого момента любые обращения браузера к веб-страницам системы интернет-банкинга нескольких российских кредитных организаций осуществляются через прокси-сервер киберпреступников. С его помощью в страницы систем «банк-клиент» при открытии на инфицированном компьютере встраивается постороннее содержимое, позволяющее злоумышленникам похищать деньги с банковских счетов жертвы.

В настоящий момент в «Доктор Веб» установили, что Trojan.Proxy2.102 способен подменять содержимое следующих банковских интернет-ресурсов: online.sberbank.ru, online.vtb24.ru и online.rsb.ru. Поскольку троян предварительно устанавливает на зараженном компьютере поддельный цифровой сертификат, с использованием которого подписывает соответствующие веб-страницы, пользователь вряд ли сможет вовремя заметить подмену, считают в компании.

После успешной установки троян отправляет сообщение об этом событии на управляющий сервер. Поскольку он никак не регистрирует себя в автозагрузке, после выполнения своих вредоносных действий зловред переходит в бесконечный спящий режим.

По утверждению представителей «Доктор Веб», «Антивирус Dr.Web» успешно обнаруживает и удаляет вредоносную программу Trojan.Proxy2.102, поэтому она не представляет опасности для пользователей продуктов компании. Ссылка на источник