Зафиксированы новые версии трояна Tatanga, обходящие TAN ключи

Эксперты Trusteer зафиксировали новую атаку банковского троянца Tatanga. В ходе этой атаки, направленной на перехват TAN кодов, создаваемых с помощью персонального TAN-генератора, используются методы социальной инженерии.

TAN-коды (Transaction Authorization Number) используются в системах онлайн-банкинга как дополнительный уровень защиты при проведении операций по клиентским счетам. Это одноразовые пароли, создаваемые для каждой транзакции, их ввод призван подтвердить аутентичность лица, зарегистрировавшегося в системе, и дает банку «добро» на завершение транзакции.

Разумеется, хакер может с помощью фишинга выудить у пользователя и его регистрационные данные, и TAN-код. Однако последний действителен лишь для одной транзакции, и хакеру нужно успеть им воспользоваться, пока этот короткий срок не истек, ― причем так, чтобы жертва не обнаружила кражу. Современные фишеры решают эту проблему с помощью троянцев, способных на лету подменять банковские страницы по методу html-инъекций и оперировать украденными данными в пользу своих хозяев (Man in the Browser, MitB-атаки).

Представителем таких программ-перехватчиков является семейство Tatanga, появившееся в начале 2011 года. По свидетельству экспертов испанской S21sec, Tatanga в полной мере наделен MitB-функционалом, использует руткит-технологии, умеет по удаленной команде блокировать антивирус, работает практически со всеми браузерами, совместимыми с Windows, и не терпит соседства конкурентов. Данный зловред предпочитает атаковать клиентов европейских банков, в особенности немецких.

В мае Trusteer обнаружила атаку Tatanga, запрашивающего у жертвы TAN-код, присланный банком по SMS-каналам. Предлогом для фальшивого запроса, сделанного от имени банка, служила проверка системы двухфакторной аутентификации, якобы проводимая банком. Вариант зловреда, обнаруженный в начале сентября, использует ту же тему, но немецкоязычный текст, размещенный на подставной странице, подробно инструктирует жертву, как создать одноразовый пароль для «тестовой» транзакции с помощью личного TAN-генератора. Чтобы клиент банка не обнаружил недостачу, зловред подменяет информацию о состоянии счета, присланную банком по завершении сеанса.