Ένα νέο banking trojan που στοχεύει στη συγκέντρωση οικονομικής φύσεως στοιχείων και δεδομένων, εντοπίστηκε από ερευνητές ασφαλείας, σε υπολογιστές της Ιαπωνίας. Το malware δημιουργεί ένα κακόβουλο proxy server στον υπολογιστή του θύματος και φιλτράρει όλες τις διευθύνσεις IP, εκτός από αυτές που στοχεύει.
Το malware αν και στηρίζεται σε βασικές μεθόδους αλλαγής ρυθμίσεων του proxy server, για να κατευθύνει τα θύματα σε ψεύτικες ιστοσελίδες Ιαπωνικών τραπεζών, χρησιμοποιεί εξελιγμένες τεχνικές κοινωνικής μηχανικής για την επίτευξη του στόχου αυτού.
Ερευνητές ασφαλείας στη IBM Trusteer, ανέλυσαν το κομμάτι του κακόβουλου λογισμικού και το όνομα που του έδωσαν το πήραν από τη πόλη Tsukuba, της Ιαπωνίας.
Παρατήρησαν ότι η μέθοδος διανομής για το banking Trojan, είναι μέσω spam mail, και αφού εγκατασταθεί και μολύνει τον υπολογιστή, τρέχει ένα σύνολο από ενέργειες σχεδιασμένες να κρύψουν τη κακόβουλη δραστηριότητα, σκοπός της οποίας είναι η κλοπή εντολών και προσωπικών στοιχείων, κάνοντας το θύμα να πιστεύει ότι βρίσκεται σε μια επίσημη και ασφαλή τοποθεσία στο web.
To banking trojan κρύβει την εγκατάσταση του, περιέχει άμυνες για ανίχνευση της παρουσίας του στο σύστημα και τρέχει μόνο εάν τα εργαλεία ανίχνευσης του διακομιστή μεσολάβησης δε λειτουργούν στο μολυσμένο υπολογιστή. Επιπλέον, μπορεί να καθορίσει από την αρχή της εγκατάστασης του, αν το θύμα ταιριάζει με τον κατάλογο των στόχων του.
Μετά την εγκατάσταση του ψεύτικου πιστοποιητικού, το οποίο προστίθεται με κάποιο νόμιμο και επίσημο όνομα, συνήθως, χρησιμοποιεί το «VeriSign Class 3 Public Primary Certification Authority – G5», προχωρά στην αλλαγή των ρυθμίσεων proxy, οι οποίες εφαρμόζονται στον Internet Explorer, τον Mozilla Firefox και το Google Chrome.
Στο τελικό στάδιο της επίθεσης, το Tsukuba χρησιμοποιεί τις συνδέσεις του προς ψεύτικες ιστοσελίδες στο διαδίκτυο, ώστε να πάρει τις πληροφορίες που θέλει από το θύμα.
Μέχρι στιγμής η Ιαπωνία προστατευόταν σε ένα μεγάλο βαθμό από τέτοιες απάτες, λόγω της ιδιαίτερης γλώσσας της χώρας. Φαίνεται όμως ότι οι απατεώνες σιγά σιγά ξεπερνούν και αυτό το εμπόδιο και αρχίζουν να στοχεύουν όλο και περισσότερο τους Ιάπωνες χρήστες.
