Panda Softwaren viruslaboratorio on havainnut internet-sivuston, joka on suunniteltu käynnistämään haavoittuvuuksia ja haittaohjelmia hyödyntävän Phishing-hyökkäyksen. Hyökkäys käynnistyy, kun käyttäjä käy haavoittuvaa tietokonetta käyttäen saastuneella sivustolla.
Saastuneelle sivustolle mennessään kävijä näkee kryptatun JavaScriptin, joka todellisuudessa sisältää toisen koodin, joka yrittää ladata koneeseen Downloader.CYZ-troijalaisen.
Kun Downloader.CYZ käynnistyy, se yrittää saada muiden ohjelmien hallinnan antamalla itselleen debug-oikeudet ja lopettaa esimerkiksi ohjelmien toimintoja.
Se yrittää ladata eri internet-osoitteista 2 tiedostoa (file1.exe ja file2.exe, jotka Panda Software Banker.VY- ja Dumarin.L-troijalaisina), käynnistää ja tallettaa ne koneeseen. Downloader.CYZ myös sulkee tietokoneen turvallisuustasosta ilmoittavat ikkunat, jotta käyttäjä ei huomaisi saastumista.
Aina kun Downloader.CYZ saastuttaa koneen, se myös ottaa yhteyttä tiettyyn internet-sivustoon, joten vaikuttaa siltä, että sivusto kerää tietoa troijalaisen levinneisyydestä ja saastuneiden koneiden määrästä.
Toinen troijalainen naruttaa phishingillä
Banker.VY tekee itsestään nbthlp.exe-nimisen kopion ja luo rekisterimerkinnän, joka varmistaa, että troijalainen käynnistyy aina tietokoneen käynnistyksen yhteydessä. Troijalaisen vaara piilee siinä, että se on ohjelmoitu ohjaamaan käyttäjä aidoilta pankkisivustoilta näyttäville huijaussivustoille kahdella eri tavalla.
Troijalainen voi muokata hosts-tiedostoa siten, että kun käyttäjä pyrkii jollekin tietylle pankkiaiheiselle sivustolle, hän ohjautuukin huijaussivustolle, joka tallentaa käyttäjän luottamuksellisia tietoja.
Troijalaisen koodi sisältää myös listan pankkisivustojen osoitteisiin liittyvistä merkkijonoista, eli jos käyttäjä syöttää merkkijonon sisältämän osoitteen selaimeen, selain ohjautuukin huijaussivustolle. Tämä jälkimmäinen tapa lisää troijalaisen edelleenohjauksen tehokkuutta, sillä pelkällä hosts-tiedoston muuttamisella ei pystyisi vaikuttamaan kaikkiin sivuihin, joilla on jokin tietty yhteinen komponentti.
Keskiviikkoiltapäivään mennessä ei ole tullut tietoon, että huijaus kohdistuisi suomalaisiin verkkopankkeihin, vaan huijaussivustot ovat olleet espanjalaisia, italialaisia, saksalaisia, englantilaisia ja amerikkalaisia sivustoja jäljitteleviä.