NukeBot, nový bankovní trojan, je připravený útočit

Nový malware NukeBot detekoval Kaspersky Lab. Malware je vytvořený za účelem odcizení citlivých dat uživatelů internetového bankovnictví. Dřívější verze tohoto trojského koně byly známé jako TinyNuke, postrádaly ale prvky potřebné k provedení útoku. Nejnovější verze jsou naopak plně akceschopné a obsahují kód cílený na uživatele konkrétních bank.

Přestože se zatím nejedná o často využívanou malwarovou rodinu, tak skutečnost, že kyberzločinci mají připravenou zákeřnou verzi trojana, znamená, že brzy mohou iniciovat rozsáhlou škodlivou kampaň, která ohrozí velký počet uživatelů. Za účelem včasného varování svých zákazníků a dalších uživatelů uveřejnila společnost Kaspersky Lab stručnou analýzu tohoto malwaru.

NukeBot je bankovní trojský kůň. Ihned po infekci napadne škodlivým kódem webové stránky poskytovatele internetového bankovnictví v uživatelově prohlížeči. Následně ukradne uživatelova data, zneužije jejich přihlašovací údaje a podobně. Podle odborníků Kaspersky Lab již nyní koluje na internetu několik vzorků tohoto trojana, který si mezi sebou zločinci sdílejí na ilegálních hackerských fórech. Většina z nich je pouze zkušebních, sotva akceschopných malwarových konceptů, nicméně odborníci zaznamenali i několik příkladů, které mohou představovat reálnou hrozbu.

Okolo 5 % všech vzorků, které nově objevili odborníci z Kaspersky Lab, představuje útočné verze malwaru NukeBot s vylepšeným zdrojovým kódem a útočnými schopnostmi. Kromě jiného tyto verze zahrnují „injekce“ – specifické části kódu, které napodobují část uživatelova rozhraní v jeho internetovém bankovnictví. Na základě analýzy těchto „injekcí“ jsou analytici Kaspersky Lab přesvědčeni, že potenciálními oběťmi nové verze NukeBot by mohli být klienti řady francouzských a amerických bank.

Kromě toho se povedlo odborníkům z Kaspersky Lab detekovat i několik modifikací malwaru NukeBot, které neměly webovou funkcionalitu „injekce“. Místo toho byly navrženy tak, aby odcizily mailové klienty a hesla uložená ve vyhledávači. Z toho vyplývá, že hackeři stojící za novými verzemi usilují o rozšíření funkcionalit této malwarové rodiny.

„Ačkoliv se strůjci této verze NukeBot malwaru zatím nesnaží o jeho aktivní distribuci, očekáváme, že se to brzy změní. Podobnou taktiku jsme již dříve zaznamenali u jiných malwarových rodin: po krátkém testovacím období akceschopného malwaru ho kyberzločinci začnou ve velkém distribuovat skrz infikované webové stránky, spam a phishing. Doposud jsme zaznamenali verze NukeBot, které jsou připravené zaútočit na klienty minimálně šesti amerických a francouzských bank. Tento seznam potenciálních cílů je však s největší pravděpodobností pouze začátek něčeho většího. Cílem našeho stručného výzkumu je varovat banky a uživatele internetového bankovnictví před nově vznikající hrozbou. Zainteresovaným stranám doporučujeme využít závěry našeho výzkumu k včasnému posílení své ochrany před touto hrozbou,“ říká Sergey Yunakovsky, bezpečnostní odborník společnosti Kaspersky Lab.

  • Finanční organizace umožňující internetové bankovnictví by se měly přesvědčit, že mají implementované účinné řešení proti podvodům. Díky němu budou schopny zavčas identifikovat neautorizované využití zákaznických účtů a nestandardní finanční aktivity.
  • Samotným uživatelům internetového bankovnictví je doporučeno využívat internetová bezpečnostní řešení se speciální technologií chránicí finanční transakce, jako je Safe Money od Kaspersky Lab. Zároveň by měli pravidelně provádět sken celého systému, který odhalí možné infekce.

Produkty Kaspersky Lab detekují tento malware jako Trojan-Banker.Win32.TinyNuke.

Autor: Petr Smolník, šéfredaktor