Специалисты тщательно изучили работу банковского трояна Brolux.A. В результате чего стало известно, что основной его упор сейчас возлагается на японских пользователей онлайн-банкинга.
Для распространения трояна злоумышленники используют уязвимости Flash Player и браузера Internet Explorer. Когда пользователь заходит на сайт со «взрослым» контентом, взломщики-эксплойты пытаются проникнуть через уязвимость на компьютер и установить исполняемый файл трояна. Подобный механизм распространения был у еще одного трояна, нацеленного на японских пользователей — Win32/Aibatook.
Троян Win32/Brolux.A специализируется на краже персональных данных пользователей онлайн-банкинга. Он компрометирует браузеры Internet Explorer, Firefox и Google Chrome. Троян использует два конфигурационных файла: первый содержит список из 88 URL-адресов японских сайтов дистанционного банковского обслуживания, второй – названия соответствующих окон браузера.
Когда пользователь заходит на сайт через Internet Explorer, вредоносная программа получает текущий URL и сравнивает его с заданным списком (при использовании Firefox и Chrome троян сопоставляет заголовок окна). В случае совпадения Win32/Brolux.A показывает фишинговую страницу.
Злоумышленники маскируют поддельную страницу под сайты прокуратуры или агентства финансовых услуг. Она содержит официальное предупреждение для пользователей банковских услуг, а также форму для ввода данных онлайн-банкинга и ответов на секретные вопросы для входа в аккаунт.
Банковский троян Win32/Brolux.A действует по схеме, стандартной для этого типа вредоносного ПО, и детектируется антивирусными продуктами.