Обычно под термином «банковский» подразумеваются трояны, нацеленные на кражу данных пользователей, необходимых для проведения платежных транзакций через Интернет. Однако специалисты в области безопасности обнаружили новый образец кардерской программы, имеющую те же задачи, но способы извлечения информации намного изощренней. По сути это руткит с задачей перехвата нужных данных. Он активно распространяется среди пользователей систем он-лайн банкинга в Бразилии посредством drive-by download атаки. По словам исследователя в области безопасности Фабио Ассолини схема атаки достаточно проста. Суть ее заключается в том, что посетители популярных ресурсов перенаправляются на замаскированные под легитимные фишинговые сайты. Однако отличительной особенностью вредоноса является то, что он способен не только изменить конфигурацию процесса загрузки, но и обойти систему защиты операционных систем, имеющих архитектуру x64 и x32. Для атаки хакеры используют Java апплет, который снабжен набором вредоносных кодов; каждый из них имеет определенную задачу. Попадая на компьютер жертвы, посредством неисправленных уязвимостей в среде исполнения Java (JRE) файл add.reg, отключает защитный механизм контроля аккаунта пользователей (UAC) и добавляет в системный реестр поддельный сертификат cert_override.txt с цифровой подписью CA. Модификация процесса загрузки происходит благодаря файлу bcdedit.exe. Этот компонент добавляет в папку с легитимными драйверами два новых plusdriver.sys и plusdriver64.sys. При повторной загрузке они активируются и модифицируют файл хоста. В результате, ничего не подозревающий пользователь, при посещении веб-страниц он-лайн банкинга оказывается на поддельном веб-сайте. При этом даже соединение осуществляется по якобы защищенному протоколу Https, о чем свидетельствует появившееся изображение. 02.06.2011 inattack.ru
