Zagrożenie zidentyfikowane przez ekspertów z laboratorium firmy ESET działa podobnie jak złośliwy program wykryty przez CERT pod koniec listopada. Zagrożenie trafia do użytkownika jako plik z ikoną przeglądarki Firefox i nazwą “msupdate”. Wszystko po to by zasugerować, że jest to aktualizacja popularnej przeglądarki i w ten sposób skłonić ofiarę do kliknięcia w plik. Taka czynność inicjuje działanie złośliwego programu, który od tego momentu uruchamia się przy każdym starcie systemu i rozpoczyna regularne sprawdzanie zawartości schowka systemowego, czekając na moment, w którym pojawi się w nim 26 cyfrowy numer zapisany w określonym formacie (########################## lub ## #### #### #### #### #### ####). Gdy to nastąpi skopiowany numer podmieniany jest na ten, który ustalił wcześniej twórca zagrożenia.
Zagrożenie podmienia skopiowany przez ofiarę numer rachunku na dane konta w banku PKO BP. Istnieje prawdopodobieństwo, że twórcą opisywanego zagrożenia i właścicielem rachunku jest ta sama osoba, która przypisała sobie autorstwo ubiegłorocznego ataku na użytkowników serwisu Allegro. W ataku tym, za pomocą wiadomości e-mail, podszywających się pod korespondencję tego portalu, sugerowano odbiorcy konieczność zmiany hasła. Kliknięcie załączonego odnośnika skutkowało wtedy zainfekowaniem komputera złośliwym koniem trojańskim.
Chociaż przed zagrożeniem powinna ochronić nas większość programów antywirusowych, to lepiej dmuchać na zimne i zawsze dwukrotnie sprawdzać wpisane/skopiowane numery konta przy wykonywaniu przelewów.
Zdjęcie kobiety z kartą kredytową pochodzi z serwisu Shutterstock
