15. 11. 2013

Novým trikem šíří brazilští cyber zločinci malware - pomocí souboru typu RTF (Rich Text Format, je proprietární, na platformě nezávislý formát souboru pro uložení textu) infikují své oběti bankovním trojanem. Prozatím je trik využíván v portugalsky hovořících regionech, ale očekává se jeho šíření i do dalších destinací, zejména do USA. Není ani vyloučeno, že se ho pokusí napodobit cyber zločinci v Evropě

Charakteristika zranitelnosti

V phishingové e-mailové zprávě, která se tváří, že pochází od banky, dorazí v příloze k uživateli soubor s názvem „Doklad internetového bankovnictví“ ("Comprovante_Internet_Banking.rtf"). Při pokusu o otevření souboru se v dokumentu zobrazí náhled obrázku se zprávou „Klikněte pro zvětšení“ ("Click to see in a larger size", "To display the banking receipt click twice in the image"). Při kliknutí místo zvětšení obrázku vyskočí na uživatele požadavek povolení spuštění CPL souboru. Jedná se o malware. Podle Kaspersky Lab jde o Trojan.Win32.ChePro, brazilský bankovní trojan napsaný v Delphi. RTF formát souboru totiž umožňuje vkládání souborů a objektů do dokumentů, a to i spustitelných. Vložení škodlivých souborů do dokumentů formátu RTF nebo DOC umožňuje zločincům obejít filtrování e-mailů pomocí seznamu přípon nebo podle typu souboru a umožňuje překonat antivirovou detekci signatur.

Postižené systémy

MS Windows

Dopad zranitelnosti

Umožní útočníkovi nakazit systém oběti bankovním trojským koněm a následně získat identifikační údaje uživatele k jeho online bankovnictví nebo jiným internetovým službám.

Řešení

Neotvírat podezřelé e-maily a nereagovat na výzvy ke spuštění neznámých či podezřelých souborů. Uživatelé si mohou prověřit podezřelé nebo neznámé soubory na online antivirových scannerech, např. na stránkách https://www.virustotal.com/cs/; http://www.virscan.org/.

Odkazy

https://www.securelist.com/en/blog?print_mode=1&weblogid=208214122
http://www.soom.cz/aktuality/1382--Pocitacovy-zlocinci-ukryvaji-bankovni-trojany-do-RTF-souboru
http://www.ehackingnews.com/2013/11/malware-exe-inside-rtf-document.html