Infekcja szkodnikiem następuje w momencie pobrania aplikacji z któregoś z popularnych serwisów wymiany plikami i sieci P2P. CERT wskazuje, że może się on ukrywać w instalatorze Winampa, Corela PaintShop, PowerIso, a nawet pirackiej wersji Minecrafta.
Instalatory powyższych mogą zawierać tzw. droppera, który wypakowuje popularny program do pobierania plików z internetu. To właśnie on ściąga i wypakowuje na naszym dysku złośliwy dodatek do przeglądarki. CERT wskazuje, że jest to wersja dla Mozilli Firefox, jednak niewykluczone, że w sieci znajduje się również ta napisana pod Google Chrome.
Następnie dodatek przystępuje do działania. W momencie wysyłania przelewu podmienia on numer konta. Dzieje się to zaraz przed wysłaniem przelewu i jest niewidoczne dla użytkownika. Co ciekawe, algorytm ma zdefiniowaną listę serwisów, na których podmiana ma nie zachodzić. Są to polskie serwisy aukcyjne korzystające z płatności pośredników. Zdefiniowana jest także minimalna i maksymalna kwota, przy jakiej ma nastąpić podmiana numeru konta.
Praktycznie jedyną możliwością ustrzeżenia się przed wysyłką pieniędzy na podmieniony numer jest porównanie danych z SMS kodem, wysyłanym do nas przez bank.
Większość kodu pluginu jest dociągana z serwera podczas wykonywania przelewu, dlatego też samo rozszerzenie nie jest rozpoznawane przez oprogramowanie antywirusowe.
Warto jednak zaznaczyć, ze dodatek nie jest podpisany przez addons.mozilla.org, a zatem od wersji Mozilli Firefox 43 nie będzie on działał. Aby ustrzec się problemu, należy zatem zaktualizować przeglądarkę do najnowszej wersji.
Źródło: CERT / Foto: Kaspersky Lab