Cyberprzestępcy stale modyfikują sposoby, w jaki atakują użytkowników bankowości internetowej. Zaobserwowane przez hakerów wprowadzone zmiany w procedurach logowania mogą zostać przez nich wykorzystane do próby kradzieży pieniędzy. W atakach bardzo ważna jest socjotechnika, która stanowi klucz do sukcesu. Nieświadoma manipulacji osoba jest w stanie ulec sugestii i pod wpływem emocji popełni błąd, który umożliwi przestępcom przeprowadzenie skutecznego ataku.

Przestępcy wysyłając wiadomości spam mające na celu zainfekowanie komputerów wielu użytkowników nie dobierają dokładnie swoich ofiar, a robią to raczej w sposób losowy licząc, że skala ataku przyniesie oczekiwany rezultat. Inaczej sprawa ma się w najnowszym ataku. Przestępcy wybierają za swój cel konkretną osobę. Przestępcy kontaktują się z użytkownikiem telefonicznie i pod pretekstem aktualizacji danych związanych z wprowadzoną dyrektywą PSD2 wysyłają wiadomość email na jego skrzynkę pocztową podczas prowadzonej rozmowy.

Schemat ataku

Poniżej przedstawiamy schemat ataku przestępców za pomocą złośliwego oprogramowania SpyWindow.

W wiadomości email zawarty jest odnośnik do pobrania pliku archiwum (np. RAR). Użytkownik jest proszony przez osobę dzwoniącą o pobranie pliku, a następnie jego rozpakowanie. Archiwum jest zabezpieczone hasłem, które jest podawane przez cyberprzestępcę podczas rozmowy z użytkownikiem. Rozpakowany plik jest aplikacją, która swoją ikoną imituje logo danego banku. Plik w rzeczywistości jest złośliwym oprogramowaniem SpyWindow.

SpyWindow wykorzystuje do swojego działania framework .NET. Działanie malware polega na prezentacji okien dialogowych, które nakłaniają użytkownika do podania swoich poufnych danych logowania do bankowości internetowej. Ponadto, przez okna dialogowe pozyskiwane są również kody autoryzacyjne. Następnie malware podejmuje próbę usunięcia się z systemu.

Po uruchomieniu malware z pliku o nazwie Bank.exe, malware pobiera z serwera raw.githubusercontent.com plik JSON jako dodatkowe ustawienia. Plik JSON zawiera informację o lokalizacji 2 plików PDF, które zostaną pobrane. Następnie SpyWindow wysyła wiadomość e-mail wraz z informacją o zainfekowanym systemie i publicznym adresie IP. Po pobraniu plików PDF i wysłaniu e-maila uruchamiany jest atak.

W pierwszym kroku otwierany zostaje dokument PDF z rzekomą informacją z banku. Jest on rozmyty i tym samym nieczytelny. Dokument ten jest zapisywany przez malware na dysku komputera. Na nim wyświetlane są kolejno okna, które wymagają wprowadzenia loginu i hasła, a także kodu autoryzacyjnego.

SpyWindow wymaga dwukrotnie podania kodu autoryzacyjnego. Najprawdopodobniej wynika to z faktu, iż niektóre bankowości wymagają podania kodu SMS podczas logowania. Wprowadzone przez ofiarę dane są przechwytywane przez przestępców.

Po podaniu drugiego kodu i zatwierdzeniu złośliwe oprogramowanie zakończy swoje działanie, informując użytkownika o pomyślnym podpisaniu dokumentu. Dokument PDF otwierany jest w czytelnej wersji po zakończeniu fikcyjnej autoryzacji.

Działanie SpyWindow

Malware SpyWindow po uruchomieniu tworzy pliki BATCH, które mają za zadanie usunąć ślady ataku. Tworzone są 3 pliki o nazwach Windows32Script.bat, Windows64Script.bat oraz Windows128Script.bat. Plik Windows32Script.bat jest uruchamiany niezwłocznie po wyświetleniu ostatniego okna dialogowego informującego o pomyślnym złożeniu elektronicznego podpisu. Pozostałe pliki mają za zadanie usunąć same siebie oraz zawartość katalogu Obrazy.

Wykorzystywane w ataku pliki złośliwe oprogramowanie SpyWindow zapisuje w katalogu Obrazy na dysku komputera ofiary. Po ataku pliki te są automatycznie usuwane przez malware.

SpyWindow po uruchomieniu pobiera również 2 pliki PDF o nazwach Bank-Niezalogowany-Dokument.pdf oraz Bank-Zalogowany-Dokument.pdf, które są wykorzystywane podczas wyłudzania danych logowania oraz kodów autoryzacyjnych. Uruchomienie utworzonych plików odbywa się przez harmonogram zadań. Zadania są również tworzone wraz z plikami BATCH. Ich nazwy oraz opisy mają sugerować, że dotyczą aktualizacji systemu.

Malware tworzy wpisy w rejestrze mające zabezpieczyć program przed ponownym uruchomieniem. Testy wykazały, że funkcjonalność ta nie działa poprawnie. Ponadto, SpyWindow zapisuje w rejestrach również informacje o ścieżce uruchomienia malware, nazwie użytkownika, nazwie komputera oraz publicznym adresie IP.

Skradzione przez przestępców dane są wysyłane w wiadomości na zaszyty w kodzie adres email. Tymi danymi podczas trwania rozmowy posługuje się osoba dzwoniąca logując się na konto ofiary. Skuteczność ataku tym samym jest wysoka, gdyż przestępca w czasie rzeczywistym weryfikuje przechwycone informacje, które następnie służą do kradzieży środków pieniężnych z konta bankowego.

Podsumowanie

Schemat ataku z wykorzystaniem malware SpyWindow jest nowy, a przestępcy ciągle pracują nad poprawą jego działania. Poszczególne wersje SpyWindow są przygotowywane do ataku na klienta konkretnego banku. Otrzymując telefon z banku informujący o ważnym dokumencie przesłanym na pocztę należy zweryfikować wiarygodność osoby dzwoniącej jak i samej wiadomości.

Ślady świadczące o infekcji złośliwym oprogramowaniu SpyWindow:

• Pliki z rozszerzeniem .bat oraz pliki PDF o nazwach Bank-Niezalogowany-Dokument.pdf oraz Bank-Zalogowany-Dokument.pdf w katalogu Obrazy: C:\Users\uzytkownik\Pictures
• Wpisy w rejestrze systemu Windows: Komputer\HKEY_CURRENT_USER\Software\Solutions
• Wpisy w Harmonogramie zadań o nazwie Aktualizacja (Opis: Zarzadzanie aktualizacjami windows), które w zakładce Akcja zawierają ścieżkę do uruchomienia pliku .bat znajdującego się w katalogu Obrazy