Ένα νέο online banking malware, που βρέθηκε στο Operation Emmental, έχει προκαλέσει προβλήματα στην Ιαπωνία. Το TROJ_WERDLOD, ένα νέο malware που ανιχνεύθηκε, έχει προκαλέσει προβλήματα στη χώρα από το Δεκέμβριο του 2014. Περισσότερα από 400 συστήματα επηρεάστηκαν από το νέο malware.
Σύμφωνα με τον Hitomi Kimura, ειδικός ασφάλειας της TrendMicro, το malware μπορεί να αλλάξει δύο ρυθμίσεις που επιτρέπουν την κλοπή πληροφοριών στο network level.
Δεν απαιτεί reboot ή οποιεσδήποτε memory-resident διαδικασίες στα affected συστήματα.
Ο Kimura έγραψε σε ένα blog ότι μια από τις ρυθμίσεις τροποποιείται από τα proxy settings του συστήματος. Οι επιτιθέμενοι ελέγχουν την διαδρομή από το Internet traffic στο proxy. Και η δεύτερη ρύθμιση είναι το πρόσθετο κακόβουλο root certificate στο trusted root store του συστήματος. Επιτρέπει στα κακόβουλα site certificates, τα οποία προστίθενται στις man-in-the-middle επιθέσεις, να χρησιμοποιηθούν χωρίς να προκαλέσουν alerts ή error messages.
Έγραψε ότι το TROJ_WERDLOD πλήττει τους χρήστες μέσω spam mails τα οποία περιέχουν ένα συνημμένο .RTF έγγραφο. Το έγγραφο φέρεται να είναι ένα τιμολόγιο ή ένας λογαριασμός από κάποιο online shopping site. Εάν ο χρήστης ανοίξει το .RTF αρχείο, καλείται να κάνει double-click στο εικονίδιο του εγγράφου προκειμένου να εκτελεσθεί το TROJ_WERDLOD στο σύστημα.
Σύμφωνα με τις δηλώσεις του Kimura , οι χάκερ χρησιμοποίησαν ένα πλαστό certificate και proxy στο Operation Emmental. Χρησιμοποίησαν επίσης fake mobile apps προκειμένου να κλέψουν SMS μηνύματα από τις online banks. Φαίνεται ότι την ίδια συμπεριφορά μπορεί να την συναντήσουμε ξανά στο μέλλον στην Ιαπωνία, αφού οι ιαπωνικές τράπεζες χρησιμοποιούν σπάνια SMS authentication.
Ο Kimura προτείνει, προκειμένου να αποκατασταθεί ένα μολυσμένο PC, να ληφθούν τα ακόλουθα μέτρα :
[signoff icon=”icon-pin”]1. Αφαιρέστε την αυτόματη ρύθμιση πληρεξούσιου (proxy automatic setting ) στα Windows και Firefox
2. Αφαιρέστε το κακόβουλο root certificate που εγκαταστάθηκε από το TROJ_WERDLOD και αποθηκεύτηκε στα Windows και Firefox. Αυτό το κακόβουλο root certificate έχει την ακόλουθη υπογραφή:
A134D31B 881A6C20 02308473325950EE 928B34CD[/signoff]
