Czesi na celowniku wirtualnego złodzieja bankowego

Hesperbot został wykryty przez firmę Eset pod koniec sierpnia. Jak podkreśla Robert Lipovsky, analityk zagrożeń z firmy Eset, zagrożenie to, podobnie jak osławiony Zeus, jest tzw. trojanem bankowym, czyli złośliwym programem, którego głównym celem jest kradzież pieniędzy z kont bankowych swoich ofiar. 

Do rozprzestrzeniania się w sieci Hesperbot wykorzystuje sprawdzony wśród cyberprzestępców sposób - wiadomość phishingową. Potencjalna ofiara otrzymuje e-mail, który zawiera zainfekowany załącznik. Należy podkreślić, że same wiadomości imitują komunikaty wysyłane przez instytucje znane i szanowane w kraju konkretnej ofiary. Przykładowo w Czechach wiadomość phishingowa zawierająca Hesperbota wygląda jak powiadomienie z tamtejszego urzędu pocztowego. Z kolei sam załącznik do takiej wiadomości podszywa się pod dokument PDF z informacją o statusie doręczenia przesyłki. W rzeczywistości to plik wykonywalny - "zasilka.pdf.exe" ("zasilka" w języku czeskim oznacza przesyłkę). Nieostrożne kliknięcie w załącznik inicjuje infekcję.

Eksperci zwracają uwagę, że Hesperbot znalazł sposób na obejście mechanizmu autoryzującego  przelewy za pomocą jednorazowych kodów SMS. Otóż komputer zainfekowany wspomnianym koniem trojańskim, podczas łączenia się z witryną banku, wyświetla swojej ofierze informację o konieczności zainstalowania specjalnej aplikacji mobilnej. Ofiara musi jedynie wskazać, w wyświetlonym oknie, model wykorzystywanego smartfona oraz podać numer swojego telefonu. Chwilę później użytkownik otrzymuje wiadomość z linkiem, za pomocą którego może pobrać i zainstalować złośliwy komponent na swoim smartfonie. Pobrana aplikacja, przygotowana dla systemów Android, Symbian oraz Blackberry, przechwytuje wszystkie wiadomości SMS od banku użytkownika i automatycznie przesyła je do cyberprzestępcy. W ten oto sposób Hesperbot zdobywa najważniejsze dane, niezbędne do skutecznego wykradania pieniądze z kont bankowych swoich ofiar - jednorazowe hasła SMS.

Sama infekcja przebiega wielotorowo. Na komputerze użytkownika uruchamiany jest m.in. serwer proxy, czyli serwer pośredniczący w każdym połączeniu użytkownika z internetem. Logowanie się do internetowego konta bankowego, za pośrednictwem komputera, na którym taki serwer proxy działa,  jest wyjątkowo niebezpieczne. Dlaczego? Dlatego, że wszystkie informacje przesyłane przez nieświadomego zagrożenia użytkownika zamiast trafiać bezpośrednio do banku, najpierw przechodzą przez wspomniany serwer proxy. Serwer, do którego dostęp ma cyberprzestępca. Dodatkowo Hesperbot zaczyna rejestrować obraz, który ofiara widzi na swoim monitorze oraz przechwytuje każdy znak, jaki użytkownik zainfekowanego komputera wprowadzi za pomocą swojej klawiatury. Hesperbot uruchamia również na komputerze dodatkowy serwer zdalnego dostępu, dzięki któremu atakujący może w każdej chwili uzyskać dostęp do danej maszyny, bez wiedzy i zgody użytkownika. Wszystko po to, aby zmaksymalizować prawdopodobieństwo wydobycia danych, niezbędnych do uzyskania dostępu do ich internetowych kont bankowych, od możliwie jak największej liczby internautów.

Z danych laboratorium antywirusowego Eset wynika, że najwięcej infekcji spowodowanych przez Hesperbota miało miejsce na terenie Turcji i Czech. Rzadziej celem ataków byli mieszkańcy Wielkiej Brytanii i Portugalii. Jak ustrzec się infekcji? Eksperci przypominają zasadę ograniczonego zaufania. Radzą internautom, aby nie otwierali wiadomości oraz załączników, których nie oczekiwali lub które wydają się podejrzane, np. posiadają dziwne rozszerzenia: pdf.exe, doc.exe, jpg.exe. Warto również rozważyć korzystanie z oprogramowania antywirusowego.