Служба реагирования на компьютерные инциденты KZ-CERT предупреждает о распространении злоумышленниками ссылки на вредоносное программное обеспечение, которое позволяет украсть персональные данные пользователей — логин/пароль интернет-банкинга — и осуществить кражу средств даже при включенной функции двухфакторной авторизации с помощью одноразовых кодов, высылаемых посредством СМС банком клиенту.
Инцидент связан с распространением вредоносного PAC-файла для кражи персональных данных пользователей следующих систем онлайн-банкингов Online.sberbank.ru, Click.alfabank.ru, Homebank.kz, Myhalyk.kz.
Отмечается, что указанный перечень никоим образом не говорит о слабой защищенности перечисленных сервисов: «Хотим отметить, что данный список может легко дополняться, если злоумышленники добавят копии других сайтов онлайн-банкинга на свои серверы. Поэтому пользователям любых систем интернет-банкингов и электронных платежей советуем быть бдительными и проверить настройки браузеров».
«PAC-файл — это текстовый файл, определяющий по крайней мере одну функцию JavaScript — FindProxyForURL (url, host). Функция принимает два аргумента: „url“ — это URL-адрес объекта, и „host“ — это имя узла, полученное из этого URL-адреса. Функция возвращает адрес прокси-сервера, который следует использовать для доступа к указанному URL-адресу, или строку „DIRECT“, если прокси не нужен. Известные нам образцы, в качестве прокси-сервера, используют следующий адрес: 178.32.10.70:8088. Вредоносный скрипт обрабатывает запросы и перенаправляет пользователя интернет-банкинга на вредоносный сервер, являющийся копией указанных ресурсов, подконтрольной злоумышленникам», — пояснили в KZ-CERT.
Вредоносный файл может попасть на компьютер жертвы несколькими способами:
— посещение сайта по ссылке (URL)
— скачивание через ранее установленное вредоносное программное обеспечение (Downloader)
— через внешние носители (USB, CD/DVD).
Пример ссылки, с помощью которой скачивается вредоносное ПО: sample.info/iir6.eut. Антивирус с актуальными сигнатурами угроз может предупредить о ненадежности или опасности интернет-ресурса. Но, так как злоумышленники могут легко модифицировать настройки и таким образом избежать детектирования, специалисты советуют пользователям проверить настройки браузера и проявлять бдительность.
Чтобы удостовериться в отсутствии данного вредоносного ПО на компьютере, проверьте наличие ссылки, как указано на рисунке, в настройках по пути: Свойства браузера > Подключения > Настройка сети. На рисунке показаны настройки браузера с вредоносным PAC-файлом (адрес (может быть другим) обведен красной рамкой). Если вы или ваш администратор сети не устанавливали никаких настроек данного параметра — это может являться признаком заражения.
