Специалисты компании Eset изучили ряд банковских троянов, которые в настоящее время атакуют пользователей Латинской Америки. Эти вредоносы имеют ряд схожих признаков: они написаны на Delphi, содержат возможности бэкдоров, состоят из нескольких компонентов, маскируются под легитимные документы и ПО, а также нацелены на испано- и португалоговорящие страны.

Для атаки злоумышленники применяют социальную инженерию: вредоносные программы детектируют открытые окна на устройстве жертвы. Обнаружив открытый банковский сайт, показывают пользователю требование срочно ввести информацию о кредитной карте или банковском счете. Введенная в поддельные окна информация отправляется на сервер злоумышленников.

В ходе исследования эксперты Eset детально изучили типичный для этой группы банковский троян Amavaldo. Он может делать снимки экрана, предоставляет злоумышленникам доступ к веб-камере жертвы, фиксирует нажатие клавиш, загружает и запускает программы, ограничивает доступ к банковским сайтам и др.

Amavaldo собирает данные о компьютере, а также о методах защиты онлайн-платежей и банковских приложений (например, проверяет наличие антивируса с такими функциями).

Особенно примечателен вектор атаки этого трояна. Обнаружив открытый сайт банка, Amavaldo делает скриншот рабочего стола, который затем используется для имитации фона. Далее пользователю показывается всплывающее окно, куда от него требуют ввести банковские данные.

Таким образом, жертва не может взаимодействовать с любыми элементами статичного фона, активным остается только это окно. Преступники даже отключают некоторые комбинации клавиш, чтобы пользователь не смог переключиться на другой процесс.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365