Výskumné laboratórium antivírusovej spoločnosti ESET, ktoré sa zaoberá škodlivým kódom, odhalilo nového a efektívneho bankového trójskeho koňa, ktorý sa zameriava na európskych a ázijských používateľov internetového bankovníctva. Systém ESET LiveGrid objavil stovky infekcií v Turecku, desiatky v Českej republike, Veľkej Británii a v Portugalsku. Tento veľmi účinný a sofistikovaný bankový škodlivý kód nazvaný Hesperbot sa šíri phishingovými e-mailami a taktiež sa pokúša infikovať mobilné zariadenia. Obete boli na spustenie škodlivého kódu nalákané dôveryhodne vyzerajúcou kampaňou, ktorá zneužívala mená etablovaných organizácií.
Cieľom útočníkov je získať prístupové údaje svojich obetí, ktoré by im umožnili zaobchádzať s ich bankovým účtom. Taktiež sa ich pokúšajú naviesť k inštalácii mobilnej časti tejto hrozby na svoj Android, Symbian alebo Blackberry telefón. V Českej republike sa kampaň zamerala na korporátnych i súkromných klientov Československej obchodnej banky, České spořitelny, Komerčnej banky, UniCredit banky a Raiffeisen banky.Česká kampaň tejto hrozby odštartovala 8. augusta 2013. V tento deň útočníci zaregistrovali doménu www.ceskaposta.net, ktorá sa výrazne podobala na skutočnú webstránku Českej pošty.
„Zrejme nie je prekvapujúce, že útočníci sa potenciálne obete pokúšali naviesť k otvoreniu škodlivého kódu tak, že im zasielali phishingové e-maily. Tie sa podobali na správy, ktoré informujú o sledovaní poštových zásielok. Táto technika je známa a útočníci ju v minulosti použili viackrát,“
hovorí Róbert Lipovský, analytik škodlivého kódu spoločnosti ESET, ktorý vedie analýzu tejto hrozby.
Názov priloženého súboru v týchto e-mailoch bol zasilka.pdf.exe. Odkaz v tele správy sa odvolával na legitímnu doménu ceskaposta.cz, link z nej však smeroval na podvodnú stránku ceskaposta.net. Česká pošta na hrozbu reagovala promptne uverejnením varovania na svojej webovej stránke.
Win32/Spy.Hesperbot dokáže odchytávať aké klávesy stlačil používateľ infikovaného zariadenia, vytvárať obrázky z pracovnej plochy zariadenia, nahrávať video toho, čo sa deje pred počítačom prostredníctvom webkamery a vytvárať vzdialenú proxy. Ovláda však aj pokročilejšie triky, napríklad vytvorenie skrytého vzdialeného pripojenia k infikovanému systému.
“Analýza tejto hrozby odhalila, že sme našli bankového trojana s podobnými funkciami a identickými cieľmi ako neslávne známy Zeus a SpyEye. Má však výrazne odlišné rozdiely v implementácii, ktoré naznačujú, že sa jedná o novú rodinu škodlivého kódu a nie o variantu už známeho trójskeho koňa. Bezpečnostné riešenia ESETu ako napríklad ESET Smart Security a ESET Mobile Security užívateľov pred touto hrozbou chránia,”
vysvetľuje Lipovský.
Predchádzajúce varianty tejto hrozby detegoval ESET genericky ako Win32/Agent.UXO.
Najviac zasiahnutou krajinou je však Turecko. Súčasťou tamojších phishingových e-mailov bola falošná faktúra. Variant tohto škodlivého kódu sa zameriaval aj na počítačových používateľov vo Veľkej Británii a v Portugalsku. Infikované počítače objavil ESET aj v Thajsku.
