Korzystasz z Firefoksa? Uważaj na przelewy, których dokonujesz

Analitycy CERT trafili na ślad złośliwego oprogramowania, które może być niezwykle groźne dla użytkowników bankowości elektronicznej, korzystających ze starszych wersji przeglądarki Firefox.

?W ostatnim czasie do laboratorium naszego zespołu trafiła próbka złośliwego oprogramowania atakująca polskich użytkowników bankowości elektronicznej.? - piszą na swojej stronie eksperci z zespołu CERT.

Czytaj też: Groźna luka w Androidzie. Może przejąć twoje wiadomości SMS

Koń trojański w przeglądarce

Zagrożenie, na które zwraca uwagę CERT, to dodatek (plugin) do przeglądarki internetowej Firefox, który podmienia numery kont bankowych. Dodatek ten jest instalowany bez wiedzy użytkownika, a przy tym jest całkowicie ignorowany przez programy antywirusowe.

W jaki sposób przeglądarka może zostać zainfekowana? Na początku użytkownik, za pośrednictwem sieci P2P lub sieci wymiany plików, pobiera na swój komputer plik instalacyjny z jednym z darmowych programów, takich jak Winamp, Corel PaintShop czy PowerISO. Mogą to być również sterowniki do podzespołów komputera lub "zcrakowana" wersja popularnej gry Minecraft.

Zainfekowany przez cyberprzestępców instalator, oprócz standardowych plików, umieszcza na komputerze ofiary aplikację wget.exe i definiuje zadanie dla systemu Windows. Zadanie to automatycznie uruchamia program wget.exe, który pobiera, a następnie instaluje zainfekowany dodatek do przeglądarki Mozilla Firefox. Plugin - podobnie jak popularne Adblockery - monitoruje wszystkie dane, które przez niego przechodzą. Oznacza to, że może ukryć przed nami określone informacje lub po prostu je podmienić.

Zainfekowany dodatek do Firefoksa jest szczególnie groźny dla osób korzystających z bankowości elektronicznej. Pozwala bowiem na podmianę numeru konta w trakcie dokonywania przelewu. Co więcej, ofiara oszustwa nie wie nawet, że do takiej podmiany doszło, gdyż na ekranie jej monitora widnieje prawidłowy - wklejony przez nią - numer konta.

Jak uchronić się przed zagrożeniem?

Jedynym sposobem na sprawdzenie czy doszło do takowej podmiany, jest zweryfikowanie numeru konta w SMS-ie z kodem potwierdzającym przelew. Jeśli jego numer różni się od tego, który wpisaliśmy, to możemy być pewni, że padliśmy ofiarą oszustwa. W takiej sytuacji należy natychmiast anulować przelew.

Warto dodać, że opisany przez CERT problem dotyczy użytkowników starszych wersji Firefoksa. Najnowsza wersja 43 wprowadziła bowiem certyfikację dodatków. Oznacza to, że wszystkie dodatki, które nie posiadają certyfikatu addons.mozilla.org, są automatycznie blokowane przez przeglądarkę. Zalecamy więc jak najszybszą aktualizację Firefoksa do najnowszej wersji.

Analitycy CERT podkreślają, że choć w przypadku tego konkretnego złośliwego oprogramowania spotkali się wyłącznie z wersją pluginu do Firefoxa, to jednak nie wykluczają, że mogą istnieć także wersje dla Chrome.

Źródlo: CERT

Więcej o: