Pablo Escobar atakuje ponownie. Tym razem, jako trojan bankowy

Trojan bankowy o bardzo interesującej nazwie potrafi dokonać kradzieży z naszego konta. Podszywa się też pod popularny program antywirusowy.

  • Mikołaj Frączak
  • /
  • 27 marca 2022

Trojan podszywa się pod program antywirusowy

Eksperci z Cyble Research Labs podczas rutynowych badań Cyble Open-Source Intelligence (OSINT) natknęli się na post na Twitterze, w którym to badacze wspomnieli o złośliwym oprogramowaniu o nazwie i ikonie podobnej do legalnej aplikacji antywirusowej McAfee.

Analizując złośliwe oprogramowanie, zauważono, że nazwa pakietu złośliwej aplikacji to com.escobar.pablo. Dalsze badania pomogły zidentyfikować to złośliwe oprogramowanie jako nowy wariant popularnego trojana bankowego Aberebot. Oprócz kradzieży poufnych informacji, takich jak dane logowania, za pomocą nakładek phishingowych, Aberebot atakował również klientów ponad 140 banków i instytucji finansowych w 18 krajach.

Aberobot kradnie dane

Cyble Research Labs zidentyfikowało nowe funkcje w tym wariancie Aberebota, takie jak kradzież danych z Google Authenticator i przejmowanie kontroli nad zhakowanymi ekranami urządzeń za pomocą VNC itp. Threat Actors (TA) nazwali nowy wariant Escobar i opublikowali szczegóły funkcji na forum cyberprzestępczym.

Zdaniem ekspertów z Cyble Research Labs zagrożenia bankowe rosną z każdym dniem i stają się coraz bardziej wyrafinowane. Jednym z takich przykładów jest Escobar. Nowo dodane funkcje złośliwego oprogramowania Escobar umożliwiają złośliwej aplikacji kradzież informacji z zaatakowanego urządzenia. Według naszych badań tego typu złośliwe oprogramowanie jest rozpowszechniane wyłącznie za pośrednictwem źródeł innych niż Sklep Google Play. W rezultacie praktykowanie higieny cybernetycznej na urządzeniach mobilnych i aplikacjach bankowości internetowej jest dobrym sposobem, aby zapobiec narażeniu systemu przez to złośliwe oprogramowanie.

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Atak na konto Netflix? Należy uważać, gdzie przekazujemy daneAtak na konto Netflix? Należy uważać, gdzie przekazujemy daneMikołaj Frączak

Rekomendacje Cyble Research Labs

Firma wymienia kilka podstawowych najlepszych praktyk w zakresie cyberbezpieczeństwa, które tworzą pierwszą linię kontroli przed atakującymi.

Jak zapobiegać infekcji złośliwym oprogramowaniem?

Pobieraj i instaluj oprogramowanie tylko z oficjalnych sklepów z aplikacjami, takich jak Google Play Store lub iOS App Store. Używaj renomowanego pakietu oprogramowania antywirusowego i zabezpieczającego Internet na podłączonych urządzeniach, takich jak komputery PC, laptopy i urządzenia mobilne. Używaj silnych haseł i wymuszaj uwierzytelnianie wieloskładnikowe tam, gdzie to możliwe.

Tam, gdzie to możliwe, włącz funkcje bezpieczeństwa biometrycznego, takie jak odcisk palca lub rozpoznawanie twarzy, aby odblokować urządzenie mobilne. Uważaj na otwieranie linków otrzymanych w wiadomościach SMS lub e-mailach dostarczonych na Twój telefon. Upewnij się, że Google Play Protect jest włączony na urządzeniach z Androidem. Zachowaj ostrożność podczas włączania jakichkolwiek uprawnień. Aktualizuj swoje urządzenia, systemy operacyjne i aplikacje.

Po QakBocie, to kolejny groźny trojan bankowy

W pierwszej połowie grudnia 2021 roku CSIRT KNF ostrzegał przed kampanią malware, w ramach której rozsyłanie szkodliwych wiadomości odbywało się przy użyciu przejętych serwerów pocztowych. Charakterystyczną cechą kampanii było wykorzystanie przejętych serwerów w kontekście techniki reply-chain. Polega ona na rozsyłaniu wiadomości z historią konwersacji w treści, co sprawia wrażenie, że jest to kontynuacja korespondencji. W rezultacie niczego nieświadomy odbiorca może otrzymać np. wiadomość dystrybuującą złośliwe oprogramowanie, pochodzącą (jak mu się wydaje) od zaufanego nadawcy.

Potencjalnymi wektorami ataku, umożliwiającymi nieautoryzowany dostęp do serwera mogą być podatności np. ProxyShell, czy ProxyLogon. Sama dystrybucja złośliwego archiwum prowadzącego do pobrania QakBota może odbywać się na kilka sposobów. Wśród nich znajdziemy wiadomość zawierającą złośliwy link, e-mail z niebezpiecznym załącznikiem, jak również umieszczony w wiadomości element graficzny wyświetlający szkodliwy adres URL.

Źródło: własne, Cyble Research Labs https://blog.cyble.com/2022/03/10/aberebot-returns-as-escobar/

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia o którym mowa w akrtykule?

Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!