Исследователи компании “Доктор Веб” обнаружили троянскую программу, предназначенную для хищения средств со счетов клиентов ряда российских банков. В отличие от остальных вредоносов подобного рода троян, получивший наименование Trojan.Proxy2.102 (по классификации “Доктор Веб”), использует довольно простой метод.
После запуска на целевом устройстве Trojan.Proxy2.102 устанавливает на системе корневой цифровой сертификат и изменяет интернет-настройки, прописывая в них адрес принадлежащего злоумышленникам прокси-сервера. Далее любые обращения браузера к web-страницам системы интернет-банкинга нескольких ведущих российских банков осуществляются через вышеуказанный сервер.
При открытии на зараженном устройстве в страницы систем “Клиент-Банк” встраивается постороннее содержимое, позволяющее преступникам выводить средства с банковских счетов жертвы. По данным экспертов, троян способен подменять содержимое трех банковских интернет-ресурсов – online.sberbank.ru, online.vtb24.ru и online.rsb.ru. После успешной инсталляции программа отправляет на C&C-сервер злоумышленников соответствующее уведомление. Выполнив вредоносные действия, троян переходит в спящий режим. (Dr.Web/NovostIT)