Virus zneužívající Českou poštu napadal velké tuzemské banky

Malware Hesperbot

Malware Hesperbot Zdroj: ESET

Internetová bankovnictví velkých bank v České republice, Turecku, Velké Británii a Portugalsku byla a zřejmě ještě stále jsou napadána novým virem, který se šíří skrze podvodné e-maily. Ty jsou zasílány běžným uživatelům a konkrétně v Česku se tváří jako služba sledování zásilek České pošty. Klasický phishingový podvod obsahuje odkazy na infikované stránky a krade přihlašovací údaje k e-bankingu.

Česká pošta před podvodem varovala hned, jak se objevil, e-mailová kampaň začala už 8. srpna. Slovenská společnost ESET však nyní sofistikovaný malware blíže analyzovala a zjistila, že v Česku byly infikovány desítky uživatelů a díky tomu došlo k „významným finančním ztrátám“. V Turecku, které bylo napadáno nejvíce, jsou obětí až stovky.

Cílem útoků v Česku bylo několik velkých bankovních domů. Virus známý jako Win32/Spy.Hesperbot napadal internetová bankovnictví ČSOB, České spořitelny, UniCredit Bank, Raiffeisenbank a Komerční banky.

Zjistil přihlašovací údaje mnoha cestami

Způsob nakažení je podobný mnoha dalším phishingovým útokům. Útočníci posílali uživatelům e-maily, které se tvářily, že pochází od České pošty. Maily vyzvaly uživatele, aby klepnul na odkaz a přešel na web ceskaposta.cz. Samotný odkaz ale vedl na podvodný web ceskaposta.net, což běžný uživatel v drtivé většině případů nerozezná. E-mail obsahoval i soubor zasilka.pdf.exe a vyzýval uživatele k instalaci dalšího malwaru na mobilní telefony včetně Androidu.

Cílem viru je získat přihlašovací údaje do e-bankingu. Využívá k tomu sadu nástrojů, například takzvaný keylogger, který umožňuje zaznamenávání stisknutých kláves. Obsahuje i další aplikace na získávání údajů z internetových formulářů, vytváření obrázků z dění na počítači, nahrávání videa či sledování síťového provozu v reálném čase. Balík umí i vytvořit skrytý VNC server, přes něhož je možné vzdáleně ovládat nakažený počítač, takže si útočníci vytváří vlastní síť pro botnet. K dispozici je i nástroj pro injektování webových stránek, díky čemuž je možné do webu vložit vlastní kus zdrojového kódu.

Hesperbot je podle analytiků ESETu velice podobný dříve odhaleným virům Zeus a SpyEye, je to ale kompletně nový druh a ne varianta na tyto staré kusy kódu. Hesperbot už ale nejspíše žije a vyvíjí se delší dobu. „Při porovnávání českého vzorku s naší databází malwaru jsme zjistili, že už jsme dříve detekovali varianty viru nazvané Win32/Agent.UFO,“ uvádí zpráva slovenské antivirové firmy.