Компания Symantec сообщила об угрозе, связанной с банковским трояном Trojan.Neloweg, которая способна украсть личные данные пользователей (в том числе банковские реквизиты),когда они заходят на сайты финансовых организаций.

Trojan.Neloweg работает таким же образом, как и другой банковский троян — Zeus. Обе вредоносные программы определяют, на каком сайте находится пользователь и добавляют туда специальный JavaScript. Но если Zeus использует свой файл конфигурации, тоTrojan.Neloweg хранит данные на вредоносном сервере.

При переходе на известную страницу банка, Trojan.Neloweg маскирует часть страницы белым цветом, используя скрытый тег DIV, и запускает свой код JavaScript, расположенный на специальном сервере.

Троян стремится украсть не только банковские реквизиты, но также другие логины и пароли. Чтобы добиться этого, авторы кода придали браузерам функции ботов. Браузер может обработать контент страницы, на которой находится, перенаправить пользователя на другую страницу, украсть пароли, запустить приложение или даже уничтожить себя.

Атакам трояна подвержены пользователи наиболее популярных браузеров — Mozilla Firefox и Internet Explorer. Опасность грозит также браузерам, использующим движки Trident (Internet Explorer), Gecko (Firefox), и WebKit (Chrome/Safari). Атаки на эти менее популярные браузеры повышает вероятность того, что именно они используются для работы с банковскими системами.

Trojan.Neloweg особенно опасен тем, что не отображается на панели расширений Firefox, так как является компонентом, а не дополнением или плагином. Используя архитектуру браузера, троян воссоздается или устанавливает себя при каждом подключении Firefox к Интернету.