Symantec обнаружила необычный банковский троянец Neloweg

Александр Панасенко 07 Марта 2012 - 14:38

...

Neloweg, как его нарекли эксперты, интересуют регистрационные данные банковских и ftp-ресурсов, почтовых сервисов, а также информация, вводимая в веб-формы. Как и ZeuS, он оперирует списком банковских сайтов и, находя соответствие, добавляет на страницу специализированный JavaScript. Однако, в отличие от ZeuS, использующего для инъекций штатный конфигурационный файл, Neloweg запрашивает данные с сервера, контролируемого злоумышленниками. Он на лету модифицирует содержимое страницы, используя скрытый тег div, и выполняет JavaScript, хранящийся на удаленном сервере.

По свидетельству Symantec, новый троянец может распространяться через drive-by загрузки, спам, целевые рассылки, а также с помощью других вредоносных программ. Он атакует Firefox, IE и несколько менее популярных браузеров, использующих движки Trident, Gecko и WebKit. Способ интеграции Neloweg в браузер весьма неординарен: зловред не создает лишних расширений и плагинов, высвечиваясь в общем списке надстроек, а устанавливается как полноценный компонент. Даже если его удалить, то в случае с Firefox, например, он будет воссоздаваться и заново инсталлироваться при каждом подключении браузера к интернету.

После установки Neloweg открывает бэкдор, позволяющий зараженному браузеру принимать удаленные команды. Подчиняясь недоброй воле, новоявленный бот сможет обрабатывать содержимое текущей страницы, перенаправлять пользователя на конкретный ресурс, останавливать загрузку страниц, красть пароли, запускать исполняемые файлы, ― даже выполнять команду на самоуничтожение.

Первые единичные заражения Neloweg были обнаружены на территории Великобритании и Голландии. Насколько известно, за пределы Западной Европы он пока не вышел. Информация для пользователей защитных решений ЛК: детект Trojan-Banker.Win32.Neloweg.a будет включен в следующее обновление.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 30 Октября 2025 - 16:38

Трояны Соответствие законодательству РФ Домашние пользователи Государство

В Московском регионе задержаны предполагаемые авторы вредоноса Медуза

Полиция Москвы и Подмосковья задержала троих айтишников. Молодые люди подозреваются в причастности к созданию и распространению вредоносной программы «Медуза», а также к использованию ее в атаках на территории России.

В ходе расследования выяснилось, что ворующий данные зловред был создан около двух лет назад и продвигался через хакерские форумы. В мае этого года он засветился в атаке на одно из учреждений Астраханской области.

Те же вирусописатели создали еще один вредоносный продукт — бот, умеющий обходить средства защиты данных.

Следственным управлением УМВД по Астраханской области возбуждено уголовное дело по признакам преступления, предусмотренного ч. 2 ст. 273 УК РФ (создание / распространение / использование вредоносных программ в составе ОПГ, до пяти лет лишения свободы).

В ходе обысков у фигурантов были изъяты компьютерная техника, средства связи, банковские карты и другие предметы, имеющие доказательственное значение. Задержанным избраны различные меры пресечения, полиция пытается выявить других соучастников и дополнительные свидетельства противоправной деятельности.

О какой «Медузе» идет речь, можно только гадать. В пресс-релизе МВД РФ сказано, что зловред предназначен «для хищения учетных данных, сведений о криптокошельках и другой компьютерной информации».

По всей видимости, речь идет о Meduza Stealer, а не о банковском трояне Medusa, заточенном под Android, и уж явно не о шифровальщике с тем же именем.