Новый компьютерный вирус крадёт данные банковских карт под видом системных обновлений
NewsMakerХакеры делают ставку на полное отсутствие подозрений.
Новая волна атак на банковских клиентов в Латинской Америке показывает, как быстро эволюционируют финансовые трояны . Злоумышленники всё чаще упрощают схемы заражения и одновременно усложняют поведение вредоносного кода, делая его почти незаметным для пользователя.
Специалисты «Лаборатории Касперского» описали семейство JanelaRAT — это троян, нацеленный на кражу банковских и криптовалютных данных. Название происходит от португальского слова «janela» — «окно». Программа отслеживает активные окна браузера и реагирует на посещение сайтов конкретных финансовых организаций. В отличие от предшественника BX RAT, вредонос использует собственный механизм анализа заголовков окон, что помогает точнее выбирать жертвы и запускать атаки в нужный момент.
Распространение начинается с писем, маскирующихся под уведомления о неоплаченных счетах. Ссылка в таком письме ведёт на поддельный сайт, откуда загружается архив с набором файлов — от скриптов до исполняемых компонентов. Последние версии цепочки заражения упростили процесс. Теперь злоумышленники используют установочные MSI-файлы, которые сразу разворачивают вредонос и закрепляют его в системе.
Такой установщик скрывает реальные имена файлов, создаёт служебные объекты Windows и добавляет программу в автозагрузку. В системе появляется легитимно выглядящий файл, который подгружает библиотеку — именно в ней скрыт JanelaRAT. Для маскировки код шифруется и запутывается с помощью популярных инструментов обфускации.
Новая волна атак на банковских клиентов в Латинской Америке показывает, как быстро эволюционируют финансовые трояны . Злоумышленники всё чаще упрощают схемы заражения и одновременно усложняют поведение вредоносного кода, делая его почти незаметным для пользователя.
Специалисты «Лаборатории Касперского» описали семейство JanelaRAT — это троян, нацеленный на кражу банковских и криптовалютных данных. Название происходит от португальского слова «janela» — «окно». Программа отслеживает активные окна браузера и реагирует на посещение сайтов конкретных финансовых организаций. В отличие от предшественника BX RAT, вредонос использует собственный механизм анализа заголовков окон, что помогает точнее выбирать жертвы и запускать атаки в нужный момент.
Распространение начинается с писем, маскирующихся под уведомления о неоплаченных счетах. Ссылка в таком письме ведёт на поддельный сайт, откуда загружается архив с набором файлов — от скриптов до исполняемых компонентов. Последние версии цепочки заражения упростили процесс. Теперь злоумышленники используют установочные MSI-файлы, которые сразу разворачивают вредонос и закрепляют его в системе.
Такой установщик скрывает реальные имена файлов, создаёт служебные объекты Windows и добавляет программу в автозагрузку. В системе появляется легитимно выглядящий файл, который подгружает библиотеку — именно в ней скрыт JanelaRAT. Для маскировки код шифруется и запутывается с помощью популярных инструментов обфускации.