Новый вариант финансового вредоноса Citadel направлен на пользователей платежной системы Payza, говорят в ИТ-компании Trusteer. По данным специалистов, вредонос запускает локальную внутрибраузерную атаку с целью похищения финансовых реквизитов пользователей.
Citadel – это троянская программа, созданная преимущественно для кражи реквизитов от систем онлайн-банкинга, но она также связана с программой-вымогателем Reveton, которая блокирует компьютеры и отображает предупреждения о необходимости перечисления тех или иных платежей для разблокировки. Как и большинство других троянских программ, Citadel внедряется в системные процессы интернет-браузера и может модифицировать страницы, открываемые на компьютере пользователя. Данная техника на слэнге специалистов именуется, как MitB или Man in the Browser. Она довольно сложна для обнаружения со стороны пользователя без использования антивирусного решения, так как в адресной строке браузера выдается легальный адрес посещаемого сайта.
Новый вариант Citadel, обнаруженный Trusteer, содержит в себе MitB-код, который подменяет поля ввода реквизитов платежной системы Payza на логин-странице. Более того, вредонос просит добавить PIN-поле в форму аутентификации. “Payza Transaction PIN применяется каждый раз, когда пользователь переводит средства с одного счета на другой, пополняет счет или проводит платежи. Получив PIN-код, логин и пароль пользователя Payza, киберпреступники могут полностью захватить его аккаунт и совершать любые денежные переводы”, – говорит Итей Маор, специалист по ИТ-безопасности Trusteer. Платежная система Payza подобна PayPal, однако она ориентирована на развивающиеся страны. Владеет Payza лондонская компания MH Piullars. В Trusteer говорят, что новый Citadel использует для перехвата собственные внедрения на secure.payza.com/login и alertpay.com. (Trusteer/NovostIT)