компьютеры

Интересный вирус

Третьего дня анализировал очередной бразильский вирус. Работает он изящно, по-бразильски. Вместо того, чтобы делать какие-то там сложные вещи, он тупо прописывает адрес VBS скрипта в строку автоконфигурации прокси. Обычно этот скрипт используется IT чтобы автоматически перебрасывать траффик для определённых сайтов через прокси-сервер, что полезно в гетерогенных сетях с замудрёнными комбинациями интра- и интернет-сайтов.

Тут то же самое, только скрипт пробрасывает траффик через прокси сервер для сайтов онлайн-банкинга =)

Я сначала не вкурил, зачем это такое. Ведь если зашифрованный траффик бросить через какой-то третий хост, он зашифрованным быть не перестанет. Да, можно устроить MITM, но чтобы это сработало хорошо, надо сделать много ОЧЕНЬ затратных телодвижений; люди с такими талантами не станут красть банковские пароли. А тупой, незатратный MITM засечёт браузер. Некоторые дурни, конечно, нажмут кнопочку "продолжить", но...

А потом выяснилось, что крякеры не стали заморачиваться с такой сложной схемой. Это не реальный прокси-сервер. Это тупой веб-сервер (запросы к вебсайту через прокси от обычных запросов ничем не отличаются), и они тупо подсовывают вместо банковского сайта свою копию, в первом приближении похожую на реальный сайт, а с шифрованием трафика не связываются.

Способ неплох тем, что по имени домена в браузере такой фишинг не сечётся. В строке адреса прописан домен реального веб-сайта.

Очевидно, многие ведутся.

Браузер же должен предупредить, что трафик нешифрованный и что сертификат поддельный? Разве нет?

Это если делать обычный MITM, то безусловно так.
Кажется я ничего не понял, пойду перечитаю еще раз.
В этой схеме будет же видно, что трафик не шифрованный?
Будет, если на это обращать внимание.

А если юзер ушастый набирает itau.com и его не перебрасывает на логин с префиксом https, он может и не заметить.

Короче, как всегда эксплутирует невнимательность к деталям, которая выскакивает у всех когда-нибудь.

Изящно, вообще. Никакого сложного кода, перехватывающего http запросы, и подменяющего на ходу данные (как, например, делал Zeus). Всё встроенными средствами.
баян, на самом деле.
но самый Cost-effective, это тебе не WinSock провайдеры писать.