Malware perbankan semakin sneakier, perusahaan keamanan memperingatkan

Para pembuat malware keuangan mencoba untuk menghindari sistem keamanan perbankan online baru dengan kembali ke teknik mencuri kredensial seperti pencurian yang lebih tradisional, menurut para peneliti dari firma keamanan Trusteer.

Kebanyakan Trojan finansial program yang digunakan oleh penjahat dunia maya saat ini mampu merusak secara real time dengan sesi perbankan online yang diprakarsai oleh korban di komputer mereka. Ini termasuk kemampuan untuk mengeksekusi transaksi penipuan di latar belakang dan menyembunyikannya dari pengguna dengan memodifikasi saldo akun dan tampilan histori transaksi di browser mereka.

Akibatnya, bank telah mulai menerapkan sistem untuk memantau bagaimana pelanggan berinteraksi dengan situs web mereka dan mendeteksi anomali yang mungkin menunjukkan aktivitas malware. Namun, tampaknya beberapa pembuat konten malware kembali ke teknik yang lebih tradisional yang melibatkan mencuri kredensial dan menggunakannya dari komputer yang berbeda untuk menghindari terdeteksi.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Trojan yang familier, teknik baru

Para peneliti Trusteer baru-baru ini mendeteksi perubahan dalam program Trojan keuangan Tinba dan Tilon yang dirancang untuk mencegah korban mengakses situs web perbankan online yang sebenarnya dan mengganti halaman log-in mereka dengan versi jahat.

"Kapan pelanggan mengakses situs web bank, malware menyajikan halaman web yang benar-benar palsu yang tampak seperti halaman masuk bank, "kata perwira teknologi utama Trusteer, Amit Klein, Kamis dalam sebuah posting blog. "Setelah pelanggan memasukkan kredensial login mereka ke halaman palsu, malware menampilkan pesan kesalahan yang mengklaim bahwa layanan perbankan online saat ini tidak tersedia. Sementara itu, malware mengirimkan kredensial login curian kepada penipu yang kemudian menggunakan mesin yang sama sekali berbeda untuk masuk ke bank sebagai pelanggan dan jalankan transaksi penipuan. "

Jika bank menggunakan otentikasi multi-faktor yang membutuhkan satu kali kata sandi (OTP), malware meminta informasi ini pada halaman palsu juga.

Jenis pencurian kredensial ini mirip dengan serangan phishing tradisional, tetapi lebih sulit dideteksi karena URL di bilah alamat browser adalah situs web asli dan bukan situs palsu.

"Ini tidak secanggih transaksi suntik ke dalam sesi perbankan web secara real time, tetapi mencapai tujuannya untuk menghindari deteksi, "kata Klein.

Fitur" penggantian halaman penuh "ini hadir dalam Tinba versi 2, yang peneliti Trusteer miliki baru-baru ini y ditemukan dan dianalisis. Malware ini dilengkapi dengan dukungan untuk Google Chrome dan upaya untuk membatasi lalu lintas jaringannya dengan menyimpan gambar yang dimuat pada halaman palsu secara lokal.

Sudah digunakan

Menurut para peneliti Trusteer, Tinba v2 sudah digunakan dalam serangan yang menargetkan keuangan besar lembaga dan layanan Web konsumen.

"Bank selalu menghadapi dua vektor serangan di saluran online," kata Klein. "Yang pertama adalah pencurian kredensial. Ada berbagai cara untuk mengeksekusi jenis serangan ini termasuk malware, pharming dan phishing. Vektor serangan kedua adalah pembajakan sesi yang dicapai melalui malware. Kedua vektor ini memerlukan dua solusi berbeda."

Bank harus memastikan bahwa mereka memiliki perlindungan di tempat terhadap kedua jenis serangan, jika tidak penjahat cyber akan cepat menyesuaikan teknik mereka, kata Klein. "Kamu tidak bisa mengunci pintu dan membiarkan jendela terbuka."