Egy új banki kártevő innovatív technikával képes manipulálni a böngészőket: a böngészőtevékenység kifürkészéséhez szükséges bonyolult befecskendezéses eljárás (code injection) helyett az új kártevő ugyanis a Windows üzenetláncait vizsgálja, és azokban online banki tevékenységre utaló jelek után kutat. A kártevő nagy veszélye, hogy mivel a kód nem függ sem a böngésző architektúrájától, sem annak verziójától, így egyetlen kód minden böngészőben működik.

A kártevő az online bankolás észlelése után a felhasználó tudtán kívül egy rosszindulatú JavaScriptet tölt be az aktuális weboldalra a böngésző JavaScript konzolján keresztül, vagy pedig észrevétlenül közvetlenül a címsorba. Régebbi mintákban a program beilleszti a vágólapra a rosszindulatú szkriptet, és szimulálja a fejlesztői konzol megnyitásához szükséges billentyűkombináció leütését (CTRL + SHIFT + J a Google Chrome-ban, a CTRL + SHIFT + K Mozilla Firefoxban), a CTRL + V használatával beilleszti a vágólap tartalmát, majd elküldi az ENTER parancsot a konzol tartalmának végrehajtásához. Végül a rosszindulatú program továbbítja a konzol bezárásához szükséges billentyűkombinációt is. A böngészőablak a folyamat során láthatatlan – az átlagos felhasználók számára úgy tűnhet, mintha a böngészőjük egy pillanatra lefagyna.

Ezután a banki kártevő lefuttat egy meghatározott szkriptet minden megcélzott bank felé, mivel minden banki weboldal más-más forráskóddal és változókkal rendelkezik. Ezeket a szkripteket olyan oldalakba fecskendezik be, amelyeket a rosszindulatú program átutalási kérelem elindításaként azonosít (például egy közüzemi számla kifizetése). Az ily módon befecskendezett parancsfájlok titokban helyettesítik az eredetileg címzett bankszámlaszámát egy másikkal, így amikor az áldozat gyanútlanul elküldi a bankátutalást, a pénz igazából már a támadók számlájára megy. A jogosulatlan fizetésekkel szembeni védelmek, mint például a kétfaktoros azonosítás, ezúttal nem segítenek, mivel a számlatulajdonos saját maga indítja el a manipulált átutalást.

Hogyan védekezhet?

A banki vírus rosszindulatú spamkampányokon keresztül terjed. A levelekben egy hamis JavaScript-letöltő található. Éppen ezért a A szakemberek szerint hatékony védekezéshez a naprakész vírusvédelem mellett érdemes lehet JavaScript-blokkoló/ellenőrző kiegészítőt is telepíteni – ide kattintva talál egy jól működőt.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.