Banatrix

Zacznijmy od tego (ostrzegam – dość żenującego) artykułu: Polskie banki ostrzegają: wirus Banatrix podmienia numer konta w zupełnie nowy sposób. Następnie proponuję przenieść się do źródła: VBKlip 2.0: bez schowka, za to z efektami specjalnymi. Przy czym raczej polecałbym przeczytać angielską wersję, bo to “zadanie okresowe” mnie kopie – w polskiej wersji Scheduled Tasks są tłumaczone (chyba) na Zaplanowane Zadania.

Przede wszystkim nie jestem zaskoczony istnieniem takiego wirusa, a nawet na swój specyficzny sposób cieszę się, że się pojawił. Dlaczego? Dlatego, że być może bzdurne “zabezpieczenie” polegające na wyłączeniu możliwości kopiowania numeru konta nie będzie implementowane/zalecane. Tak naprawdę możliwość podmiany rachunku wpisanego przez użytkownika malware ma od dawna. W dodatku “możliwość” należy tutaj rozumieć nie jako jakieś techniczne “supermoce”, tylko jako zaimplementowaną/dostępną standardowo funkcję.

Druga sprawa – Scheduled Tasks już dawno były wykorzystywane przez malware jako persistence mechanisms co jest opisane choćby tutaj: Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 8.

Po trzecie – ten malware cały czas jest prymitywny. Dlaczego? Dlatego, że go widać. Dobry malware powinien podmieniać numer rachunku wysyłany do serwera, ale jednocześnie ukrywać ten fakt przed użytkownikiem – prezentować oryginalny numer rachunku w GUI. Malware ma taką (techniczną) możliwość.

W tym kontekście bardzo dobrze pasuje ta prezentacja: Evaluation of Transactional Controls in e-Banking Systems (slajd 13).

Przy okazji – jest dokładnie tak, jak mówiłem ostatnio na WHEEL Eventing #006 - warto wyjść od dwóch elementów:

Jeśli atakującemu “dajemy” malware zainstalowane na stacji ofiary, to tak trywialne rzeczy jak podmiana rachunku i ukrywanie tego faktu przed użytkownikiem atakujący po prostu może.

Oryginał tego wpisu dostępny jest pod adresem Banatrix

Autor: Paweł Goleń