image

Onbekende Trojan steelt duizenden bank accounts via SSL

woensdag 21 maart 2007, 15:44 door Redactie, 6 reacties

Een Trojaans paard blijkt een maand lang ongestoord de online banking accounts van meer dan 5000 mensen te hebben gestolen. Per toeval kwamen beveiligers achter het bestaan van de Gozi trojan. Begin januari 2007 meldde een gebruiker dat verschillende van zijn accounts waren gekaapt. Verder onderzoek wees uit dat het om een nog onbekende malware executable ging. Het systeem bleek echter al sinds 13 december 2006 via een remote exploit geinfecteerd te zijn geweest.

Onderzoekers ontdekten ook de server waar alle gestolen accounts werden opgeslagen en aangeboden. De criminelen verkochten de gestolen logins. Zo vroeg men 100 dollar voor de accounts van een kleine retailer, terwijl die van eenk bank voor 2500 dollar van "eigenaar" verwisselden. In totaal werden op de server meer dan 10.000 verschillende accounts van zo'n 5200 slachtoffers aangetroffen, waaronder ambtenaren en andere overheidsdiensten. De totale waarde van de informatie bedroeg meer dan 2 miljoen dollar op de zwarte markt.

Gozi, waar inmiddels ook andere varianten van actief zijn, verspreidt zich via beveiligingslekken in Internet Explorer en weet via de Winsock 2 functionaliteit SSL/TLS beveiliging te omzeilen en het netwerkverkeer "on the fly" op te slaan voordat het versleuteld wordt. Don Jackson maakt de volgende uitgebreide analyse van deze zeer complexe malware.

Reacties (6)
21-03-2007, 16:05 door Anoniem
Dit is niet complex maar prutwerk. Gewoon winsock calls hooken can
iedere boer.
21-03-2007, 16:33 door pikah
Zoals ook te lezen is in de analyse blijkt dat het verkeer
wordt opgevangen tussen de SOCKET en Internet Explorer zelf.
De data is dus nog niet eens encrypted, dus plain text. Het
omzeilt ook de SSL/TLS beveiliging dus niet.

Voor de mensen die het niet gelezen hebben, er staan onderin de analyse snort regels om de malware te detecteren.
21-03-2007, 19:43 door Anoniem
Door Anoniem
Dit is niet complex maar prutwerk. Gewoon winsock calls
hooken can
iedere boer.

Dus mogen consumenten er van uitgaan dat hun
beveiligingsoftware nog groter prutswerk is als dit
prutswerk niet gedetecteerd word.... het zal allemaal wel..
21-03-2007, 22:37 door Anoniem

- Spread through IE browser exploits
- Undetected for weeks, months by many AV vendors
De massa mag hopen dat het geen prutswerk is, want als dit
soort dingen door elke prutser geschreven kan worden...
22-03-2007, 09:37 door pikah
De reden dat het waarschijnlijk maanden niet gedetecteerd is
waarschijnlijk omdat de malware nog niet overal verspreid
werd. Verder zijn er veel bedrijven waar de updates niet
bepaald elke dag binnenstromen.

De software maakt dan ook dankbaar gebruik van deze
'gebruikersfouten' die er weer voor zorgen dat de
softwarefouten aanwezig blijven in de software.

Het is inderdaad niet echt prutswerk, maar het kost een
hedendaagse programmeur die ook verstand heeft van het OS
weinig tijd om een hook, zoals deze te programmeren.
22-03-2007, 16:48 door Anoniem
Om welke bank gaat het hier eigenlijk?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.