Trojan „ChewBacca”

Chewbacca

Charles Fettinger, flickr

Na początku lutego tego roku zostało wykryte oprogramowanie malware, którego nazwa może przykuć uwagę niejednego miłośnika sagi „Gwiezdne Wojny”. Mowa tu o programie o nazwie „ChewBacca”. I pomimo tego, że „prawdziwy” Chewbacca zajmował się przemytem i od czasu do czasu strzelaniem do szturmowców Imperium, ten komputerowy wykradał dane kart płatniczych. Czyżby Chewbacca zszedł na Ciemną Stronę Mocy?

Sama nazwa trojana pochodzi od wizerunku Chewbaccy, który widnieje na stronie logowania na serwer umożliwiający kradzież danych.
Oprogramowaniu udało się wykraść dane 49,000 kart płatniczych pochodzących od 45 sklepów detalicznych, z 11 krajów. Cały proceder zajął dwa miesiące.

„ChewBacca” został wykryty przez RSA FirstWatch, zespół złożony z analityków zajmujących się wykrywaniem złośliwego oprogramowania. Trojan po raz pierwszy rozpoczął „działalność” w październiku zeszłego roku, i do obecnego czasu zebrał dane aż z 24 milionów transakcji dokonywanych kartami płatniczymi. Kraje, w których dochodziło do najczęstszych kradzieży były USA, Kanada, Rosja i Australia.

Aby zachować anonimowość, twórcy trojana wykorzystali sieć TOR do przepływu skradzionych danych. Jak pokazało już kilka przypadków, sieć TOR nie zapewnia w 100% anonimowości. I tak też było w przypadku „ChewBaccy”. Analitykom z RSA udało się zlokalizować twórców trojana, a swoje odkrycie przekazali bezpośrednio do FBI. Dodatkowo RSA skontaktowało się z wszystkimi firmami, z których dane kart zostały skradzione, i przekazało im odkryte informacje.

Działanie „ChewBaccy” oparte jest na prostym działaniu keyloggingu (czyli zapisuje wszystko, co wprowadzamy do komputera za pomocą klawiatury) i memory-scrapingu (czyli trojan przeczesuje pamięć komputera w poszukiwaniu danych wrażliwych). Trojan instaluje się w folderze Startup systemu Windows, a jego skaner zaczyna szukać danych związanych z płatnościami kartami płatniczymi.
Warto wspomnieć, że podobnym trojanem działającym w 2013 roku był trojan o nazwie „Dexter”, czyli serialowy zabójca. Ten trojan z kolei skupiał się na danych z hoteli i restauracji.

Jak dotąd Federalne Biuro Śledcze wydało ostrzeżenie dla sklepów online, aby zwiększyli poziom bezpieczeństwa.

Tagi: ,

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.