Специалисты компании Symantec сообщили о выявлении троянского приложения Trojan.Neloweg, предназначенного для кражи персональных данных, включая банковские реквизиты.
Проанализировав угрозу, специалисты пришли к заключению, что вирус работает по той же схеме, как и другой банковский вирус – Zeus. Оба вредоносных приложения определяют, на каком ресурсе находится пользователь, и вставляют на страницу код JavaScript. Только в отличие от Zeus, который получает инструкции из файла конфигурации, Trojan.Neloweg хранит информацию на внешнем сервере. При открытии известной страницы банковского сервиса, троянское приложение скрывает часть страницы белым фоном при помощи скрытого тега DIV, после чего загружает и активирует собственный код JavaScript с сервера.
Как удалось выяснить сотрудникам компании Symantec, чаще всего вирус атакует обозреватели, использующие движки WebKit (Chrome и Safari), Gecko (Firefox) и Trident (Internet Explorer). Trojan.Neloweg пытается украсть не только реквизиты для банковского сервиса, но и другие пароли и логины. Для этого авторы вируса добавили во вредоносный код способность придавать обозревателям функции ботов.
К примеру, браузер способен обработать контент текущей страницы, перенаправить пользователя на другой ресурс, запустить приложение, украсть пароли и даже удалить себя. Функция удаления себя, по мнению экспертов, несколько избыточна, поскольку при этом удаляется важные системные файлы, что приводит к неработоспособности операционной системы.
Стоит также отметить способ проникновения в браузер Firefox. Ранее неоднократно выявлялись угрозы, представляющие собой вредоносные плагины обозревателя. Поэтому пользователи, отключившие в настройках все дополнения, могли чувствовать себя в относительной безопасности. Но в случае с Trojan.Neloweg данные меры бесполезны. Он представляет собой компонент, вследствие чего не выводится на панели расширений в отличие от других плагинов и дополнений. Более того, используя структуру Firefox, троянское приложение заново себя инсталлирует или создает при каждом подключении браузера к интернету.
