Это вредоносное ПО может получить доступ к вашему банковскому счету, если вы сделаете опечатку

Замечено, что русскоязычная группа киберпреступников объединила мощное вредоносное ПО для кражи информации с опечатанными доменами для украсть данные для входа на банковские сайты. Кампания была замечена экспертами по кибербезопасности Hold Security, о чем сообщил KrebsOnSecurity.

Согласно отчету, группа, известная как The Disneyland Team, нацелена на людей, зараженных мощной банковской вредоносной программой под названием Gozi 2.0 (также известной как Ursnif), которая может красть компьютерные данные, собирать учетные данные пользователей и финансовую информацию. и развернуть дополнительное вредоносное ПО.

Но в одиночку Gozi уже не поможет, поскольку производители браузеров на протяжении многих лет вводили различные меры безопасности, чтобы свести его на нет. Но здесь в дело вступает типизация — создание фишинговых веб-сайтов с доменными именами, которые являются обычными орфографическими ошибками на законных сайтах.

Помощь Гози

Согласно KrebsOnSecurity: "В прошлые годы мошенники, подобные этим, использовали специально созданные "веб-инъекции", чтобы манипулировать тем, что жертвы Gozi видят в своем веб-браузере, когда посещают сайт своего банка". 

Эти затем может «скопировать и/или перехватить любые данные, которые пользователи будут вводить в веб-форму, например, имя пользователя и пароль. Однако большинство производителей веб-браузеров потратили годы, добавляя средства защиты, чтобы блокировать такую ​​гнусную деятельность».

Поэтому, чтобы использовать Gozi, злоумышленники также добавили поддельные банковские сайты на домены с опечатками. Примерами таких доменов являются ushank[.]com (ориентация на людей, неправильно написавших usbank.com) или ạmeriprisẹ[.]com (ориентация на людей, посещающих ameriprise.com).

Вы заметите маленькие точки под буквами a и e, и если вы думаете, что это пылинки на вашем экране, вы не будете первым, кто попадется на эту уловку. Однако это не спецификации, а буквы кириллицы, которые браузер отображает как латиницу.

Поэтому, когда жертва посещает сайты поддельных банков, на них накладывается вредоносное ПО, которое пересылает все, что жертва вводит, на сайт настоящего банка, сохраняя при этом копию для себя.

Таким образом, когда реальный веб-сайт банка вернется с многофакторной аутентификацией (MFA)< /a> запрос, поддельный веб-сайт также запросит его, что фактически сделает MFA бесполезным.

• Вот наш краткий обзор лучших межсетевых экранов

Через: KrebsOnSecurity