Bankowy trojan Shylock znalazł sobie nowy kanał dystrybucji – Skype. Eksperci ds bezpieczeństwa z firmy CSIS wykryli niedawno moduł Shylock o nazwie “msg.gsm”, który próbuje używać oprogramowania VoIP do zainfekowania kolejnych komputerów. Jeśli akcja się powodzi, malware ustawia typowy backdoor. Moduł próbuje wysłać Shylock jako plik, omijając ostrzeżenia od oprogramowania Skype dzięki możliwości potwierdzenia oprogramowania oraz czyści wszelkie wygenerowane automatycznie wiadomości z historii Skype.
Gdy już trojan zostanie przyjęty, łączy się z serwerem poleceń i kontroli, które nakazują instalację serwera VNC. Serwer ten umożliwia zdalne sterowanie komputerem: pobieranie ciasteczek, wprowadzenie kodu HTTP do przeglądanych stron internetowych, przekazywanie Shylocka kolejnym użytkownikom oraz powoduje przesyłanie plików.
Epicentrum zakażeń jest według CSIS, Wielka Brytania. Operatorzy wolą się skoncentrować się na kilku krajach, zamiast obsługiwać losowe zakażenia w wielu krajach. Wykorzystanie transmisji opartej na czacie, czy to za pośrednictwem Skype czy też MSN Messenger lub Yahoo, jest coraz częstsze. Wszystko dlatego, że tego rodzaju kanały pozwalają na dystrybucję malware wśród znajomych, którzy zazwyczaj mieszkają w tym samym regionie. Masz znajomych z UK?
CSIS nazywa Shylock jednym z najbardziej zaawansowanych trojanów bankowości internetowej. Jest on stale aktualizowany o nowe funkcje. Informacja o nowym kanale dystrybucji Shylock postawiła na nogi twórców oprogramowania ochronnego, jednak wykrywanie tego zagrożenia wciąż dotyczy mniejszości silników skanujących.
Źródło: H-online