Существует немало видов вредоносного ПО, и некоторые опасные утилиты не ограничиваются уничтожением или шифрованием информации, скачиванием новых троянов и прочей «традиционной» активностью. Существуют вредоносные программы, позволяющие злоумышленникам собирать информацию о кредитных картах и счетах пользователей. Как защититься от банковских троянов?

Что умеют банковские трояны?

Первые современные банковские трояны появились в середине 2000-х годов, с развитием онлайн-банков. Попадать в операционную систему банковские трояны могут по-разному: используются электронные письма с вложениями, рассылки в программах обмена мгновенными сообщениями, поддельные сайты. Основная цель злоумышленников — как можно незаметнее запустить в системе процесс, собирающий в фоновом режиме конфиденциальные данные пользователей, прежде всего, банковские. Зачастую деньги пользователей не являются основной целью злоумышленников. Иногда банковские трояны крадут у жертв небольшие суммы (рассылая при этом часть средств на счета других пострадавших, чтобы создателей трояна было труднее вычислить), но главное в данном случае — собрать как можно более полную базу с конфиденциальными данными. В дальнейшем эта информация продается, причем довольно дорого.

Однако банковские трояны не всегда ограничиваются похищением средств и персональных данных.

Некоторые банковские вредоносные программы майнят криптовалюту (например, Monero) на устройствах пользователя, перехватывают пароли от социальных сетей, мессенджеров и т.д. Примечателен в этом отношении модульный троян DanaBot, начавший распространяться в мае 2018 года.

Многофункциональный «зловред»

DanaBot начал атаковать пользователей в Австралии, но уже через несколько месяцев дошел до Украины и России. Эта вредоносная программа, написанная на Delphi, состоит из ядра и множества расширений. В принципе, ее вредоносные возможности ограничены лишь знаниями и умениями авторов разнообразных модулей. Среди используемых в настоящее время модулей отметим:

  1. Плагин для удаленного доступа к операционной системе жертвы (по сути, открывает соединение для выполнения любых команд, причем с возможностью получения прав администратора). К сентябрю 2018 года троян поддерживает клиент-серверные сетевые протоколы RFB и RDP. Эти протоколы часто используются с легальными целями (например, в работе служб технической поддержки), поэтому активность трояна далеко не всегда блокируется сетевыми экранами.
  2. Модуль, собирающий пароли из веб-обозревателей, FTP-клиентов, почтовых программ. Если DanaBot попадет на плохо защищенный компьютер, злоумышленники смогут получить не только пароли от аккаунтов в онлайн-банках, но и доступ практически к любым данным пользователя. Помимо этого собираются cookie, данные об используемом браузере и т.п.
  3. Плагин-кейлоггер, отслеживающий нажатия клавиш пользователем. Использование этого модуля позволяет получать пароли пользователя или данные о посещаемых сайтах и поисковых запросах.
  4. Модуль для внедрения вредоносных скриптов в браузеры. Позволяет получать данные пользователя из веб-интерфейсов различных банков. Известно, что уязвимы к атакам DanaBot сайты крупных банков из США, Австралии, Великобритании, Италии, Германии, Австрии, Польши, Украины.

При этом DanaBot активно дорабатывается — возможно, он «обрастет» новыми функциями уже в ближайшие месяцы. Операторы, обслуживающие DanaBot, по всей видимости, проживают в нескольких странах, и за последние полгода ими было произведено несколько масштабных атак. В результате их действий были получены персональные данные нескольких миллионов человек. При этом в большинстве случаев распространение трояна начиналось с электронных писем, содержащих офисные документы с вредоносным кодом, далее модули подгружались автоматически.

Не все так плохо

DanaBot исключительно опасен, однако есть и хорошая новость — все его компоненты уже обнаруживаются современными антивирусами.

От деструктивной активности DanaBot вас защитит антивирус ESET NOD32. Абоненты ОнЛайм могут оформить подписку на антивирус всего за 890 рублей в год. Также за 1390 рублей в год доступна подписка на комплексное решение — ESET NOD32 Smart Security.

Антивирус с обновленными базами сигнатур поможет обнаружить троян до того, как опасная программа успеет украсть ваши данные. Однако нельзя забывать и о других мерах защиты.

Прежде всего, своевременно обновляйте компоненты Windows, особенно внимательно стоит отнестись к установке патчей, исправляющих системные уязвимости. Модули DanaBot могут эксплуатировать уже известные уязвимости системы, но, к счастью, разработчики из Microsoft постоянно выпускают исправления, делающие Windows более устойчивой к вирусным атакам.

Также не повредит тонкая настройка используемого сетевого экрана — например, создайте «белый список» приложений, которые смогут подключаться к интернету. Все остальные программы будут блокироваться — это позволит отследить несанкционированные попытки подключения вредоносных утилит к удаленным серверам.

И, разумеется, нельзя забывать об элементарной бдительности. Не надо открывать вложения из писем от неизвестных отправителей, постоянно использовать в системе права администратора и устанавливать нелицензионное ПО. Эти простые правила, а также использование качественного антивируса позволят избежать не только заражения трояном DanaBot, но и другими вредоносными программами.

Удачи!