Підроблений механізм reCAPTCHA використовують зловмисники для крадіжки облікових даних користувачів інтернет-банкінгу. Про це повідомляють дослідники компанії Sucuri.
За словами дослідників, хакери атакували клієнтів одного з польських банків, розсилаючи фішингові листи нібито від імені співробітників фінустанови або з темами, які повинні спонукати користувача перейти за шкідливими посиланнями, які містяться в листах.
При переході за посиланням жертва спрямовується не на підроблену сторінку банку, а на фальшиву сторінку з помилкою 404 (“сторінка не знайдена”). На сторінці міститься ряд певних рядків User-Agent, обмежених пошуковими ботами Google. Якщо жертва використовує альтернативну пошукову систему (не Google), PHP-скрипт завантажує фальшиву reCAPTCHA, створену за допомогою коду JavaScript і статичного HTML. Підроблена сторінка схожа зі справжньою reCAPTCHA, але має кілька відмінностей, що полягають у використанні однакових зображень і відсутності підтримки аудіосупроводу.
За даними в рядку User-Agent PHP-код ідентифікує, який пристрій використовує жертва, і на основі цієї інформації визначає тип завантажується шкідливого програмного забезпечення. У разі використання Android-пристроїв PHP-код запитує завантаження шкідливого файлу .apk, в інших – .zip-дропер.
“Шкідник”, який ідентифікується антивірусами як Banker, BankBot, Evo-gen і Artemis, здатний збирати дані про стан мобільного пристрою, місцезнаходження, контакти у телефонній книзі, переглядати і відправляти SMS-повідомлення, здійснювати дзвінки, записувати аудіо та красти іншу конфіденційну інформацію.
Нагадаємо, фахівці з комп’ютерної безпеки виявили систему вірусів під назвою DrainerBot, яка приховано витрачає інтернет-трафік мобільних пристроїв на Android.
Також про нову кампанію з поширення здирницького програмного забезпечення GandCrab повідомив фахівець компанії Bromium Метью Роуен (Matthew Rowen).