«Пользователь вряд ли сможет заметить подмену». Новый троян крадет деньги с банковских счетов

Специалисты компании «Доктор Веб» исследовали троянскую программу Trojan.Proxy2.102, разработчики которой пытаются обманывать клиентов различных кредитных организаций. Программа предназначена для кражи денег с банковских счетов, и для этого, по мнению специалистов, используется достаточно простой, но, к сожалению, действенный метод.

Запустившись на атакуемом устройстве, троянец устанавливает в системе корневой цифровой сертификат и изменяет настройки соединения с интернетом, прописывая в них адрес принадлежащего злоумышленникам прокси-сервера.

С этого момента любые обращения браузера к веб-страницам системы интернет-банкинга нескольких ведущих российских кредитных организаций осуществляются через прокси-сервер киберпреступников.

Сейчас установлено, что Trojan.Proxy2.102 способен подменять содержимое следующих банковских интернет-ресурсов: online.sberbank.ru, online.vtb24.ru и online.rsb.ru. Поскольку троянец предварительно устанавливает на зараженном компьютере поддельный цифровой сертификат, с использованием которого подписывает соответствующие веб-страницы, пользователь вряд ли сможет вовремя заметить подмену.

После успешной установки троянец отправляет сообщение об этом событии на управляющий сервер. Поскольку он никак не регистрирует себя в автозагрузке, после выполнения своих вредоносных действий троянец переходит в бесконечный спящий режим.