<b>ESET har upptäckt Linux/Chapro.A – en skadlig så kallad Apachemodul som injicerar webbsidor med skadlig kod via en infekterad webbserver. Även om modulen i sig kan hantera alla typer av innehåll, så installerar den upptäckta versionen en variant av Win32/Zbot som är designad för att stjäla bankinformation från infekterade system.&nbsp;</b>

Denna specifika version av Win32/Zbot riktar sig mot
europeiska och ryska banker. Apache-servern är världens mest populära
programvara för HTTP-servrar och används av mer än hälften av alla aktiva
webbsidor globalt.

-&nbsp;
Attackerna sprider sig över tre länder och riktar in sig på användare
i&nbsp;ett fjärde land, det gör det väldigt svårt att utreda och stoppa dem, säger
Anders Nilsson, säkerhetsexpert på Eurosecure, ESET:s nordiska generalagent. Tyvärr
har många typer av attacker som börjat i öst nått oss här i Sverige efter ett
tag, så det finns anledning för svenskar att vara vaksamma för oväntad
aktivitet från Internetbanken även efter inloggning.

När användaren har loggat in på sitt konto kommer den skadliga
koden att öppna ett popup-fönster som ber om CVV-koden från användarens
bankkort. Därefter kommer användar­informationen tillsammans med
CVV-uppgifterna att skickas till en botnätsoperatör. Även om ESET:s
researchteam inte har sett några andra installationer från Linux/Chapro.A så
har man sett hur tusentals användare har hunnit besöka målsidan (Sweet Orange)
innan den blockerades genom ESET:s produkter.

-&nbsp;
Det här sortens attack är besvärlig i och med att den ger sig in i
inloggningsprocessen på ett sätt som förvirrar användaren, säger Anders Nilsson.
För den som redan är inloggad på banksidan är risken stor att man inte inser
att något är skumt.

Den skadliga Apachemodulen har ett par intressanta egenskaper
som ska minska risken att den upptäcks av systemadministratörer. Hålet
blockerades först av ESET genom generisk detektion innan länken lades till på
URL-svartlistan. Vid analysen styrdes servern via Tyskland, men har nyligen
gått offline.

-&nbsp;
Utifrån ESET:s analys pekar hotet från Linux/Chapro.A på en så kallad
”Sweet Orange”, vilket är en målsida som hålet kan utnyttja, berättar Anders
Nilsson. Vid analysen sköttes denna via Litauen och försökte utnyttja ett
flertal sårbarheter i&nbsp;moderna webbläsare och plugins. ESET:s research
visade sedan att slutmålet för attacken var att installera en version av
Win32/Zbot som också är känd som ZeuS. Under många år figurerade ZeuS som en
metod för att stjäla bankrelaterad information.

<b>Kontakt</b>

Anders Nilsson, säkerhetsexpert Eurosecure

E-post: anders@eurosecure.com

Telefon: 0303-20 78 78

Mobil: 0706-11 10 52

Pressreleasen kommer från: Newsdesk