חברת ESET, מפתחת האנטי וירוס NOD32, חושפת איום חדש מסוג טרויאני המאיים על משתמשי הבנקאות המקוונת באירופה ובאסיה. באמצעות קמפיינים אמינים מאוד למראה הקשורים לארגונים רשמיים, התוקפים מפתים את הקורבנות להתקין ולהפעיל את התוכנה הזדונית על המחשב שלהם וכך מגיעים אל חשבון הבנק שלהם.
לפי מערכת הניטור של ESET המבוססת על טכנולוגית הענן, מאות של הדבקות נצפו בטורקיה, צ'כיה, בריטניה ופורטוגל. התוכנה הזדונית, הנחשבת לחזקה ומתוחכמת, קיבלה את הכינויHesperbot והיא מתפשטת באמצעות דואר אלקטרוני כמו פישינג ומנסה גם להדביק התקנים ניידים בעלי מערכות ההפעלה אנדרואיד, סימביאן ובלקברי.
כאמור, מטרת ה Hesperbot היא להשיג את פרטי ההתחברות של המשתמשים לשירותי הבנקים המקוונים שלהם, הטרויאני משתמש בטכניקות מוכרות כמו תיעוד הקשות המקלדת של המשתמש, צילומי מסך ואפילו תיעוד וידאו של מסך המחשב – המטרה הסופית, כמובן, היא לגנוב את כספם של הקורבנות באמצעות גישה מקוונת לחשבון הבנק שלהם. בחברתESET טוענים שלמרות שה Hesperbot דומה מאוד לאיומים מפורסמים מהעבר כמו זאוס ו- SpyEye באופן פעולתו ובמטרותיו, לא מדובר בגרסה חדשה של האיומים הותיקים אלא באיום חדש לחלוטין.
"למרות שעד עתה האיום נצפה בכמה מאות מחשבים בלבד – בעיקר בטורקיה, פורטוגל, צ'כיה ובריטניה – הוא בקלות יכול להפוך לאיום בקנה מידה גלובלי תוך זמן קצר". אומר סטפן קוב, חוקר אבטחה בחברת ESET. "בדומה לגרסאות בטה של תוכנות לגיטימיות, לעיתים התוקפים עושים מעין 'ניסוי כלים' לווירוסים שלהם לפני שהם משתמשים בהם בקנה מידה נרחב, ואנחנו מאמינים שזו הייתה כוונת התוקפים במקרה הזה", מוסיף קוב.
בנוסף לניסיון להשיג את פרטי ההתחברות של הקורבנות לאתרי הבנקים שלהם באמצעות הדבקת המחשב האישי, התוקפים במקרה הזה מנסים לגרום לקורבנות להתקין תוכנות זדוניות על הסמארטפון שלהם, כאשר הפלטפורמות הסלולריות שנמצאות בסיכון הן אנדרואיד, סימביאן ובלקברי.
לאחר שמחשב הקורבן נדבק בטרויאני, דף אינטרנט המתחזה לאתר הבנק מבקש מהמשתמש להזין את מספר הטלפון שלו את סוג המכשיר שברשתו ואז שולח אל המכשיר הודעת טקסט עם קישור לאפליקציה הזדונית, שלאחר מכן, אם הותקנה מסוגלת לאסוף מידע מהמכשיר ולעקוף את מנגנון האימות הדו שלבי של הבנק.
התוקפים מפיצים את האיום באמצעות הודעות פישינג באיכות גבוהה, שמתחזות להודעות ממקור רשמי ומשוות לו מראה אמין. חברתESET גילתה על האיום לראשונה בחודש אוגוסט, לאחר שהתוקפים העומדים מאחוריו התחילו להפיץ אימייל ברפובליקה הצ'כית המתחזה לשירות הדואר של המדינה, הלינק בהודעה הוביל לאתר אינטרנט שהיה זהה כמעט לחלוטין לאתר הדואר האמיתי.