Onzichtbare Trojan steelt data van SSL streams
Er is een nieuwe versie van de Russische Gozi Trojan ontdekt, die in staat is om gegevens tijdens secure socket layer (SSL) transacties te stelen. Gozi behoort tot een van de meest complexe Trojaanse paarden bekend, en bevat allerlei features om zich onzichtbaar te maken. Als het een SSL transactie detecteert, wordt de geïnfecteerde computer volledig gemonitord. Door continu de eigen code aan te passen, onder andere via een eigen compressie programma, probeert de malware virusscanners te misleiden.
"Het is al erg genoeg dat deze nieuwe versie van Gozi de eigen code kan versleutelen en roteren, waardoor het conventionele op signature gebaseerde detectie omzeilt. Het feit dat het de keylogging functie aan en uit kan zetten als er een banksite wordt geopend, maakt het bijna niet te detecteren door normale beveiligingssoftware," zegt Geoff Sweeney. Gozi verspreidt zich via beveiligingslekken in Internet Explorer.
Volgens onderzoeker Don Jackson, die de nieuwe Gozi versie ontdekte, zouden al meer dan 10.000 rekeninggegevens en de informatie van 5200 thuisgebruikers gecompromitteerd zijn. "De informatie bevatte alles van de bank, winkel en betaaldiensten, alsmede SoFi-nummers en andere persoonlijke gegevens. Wat betreft de rekeningnummers gaat het om wachtwoorden van alle grote instellingen en online retailers," zo laat Jackson weten.
De gestolen informatie bevatte ook de logins en wachtwoorden van ambtenaren en verschillende politiediensten, en werd op een Russische server voor 2 miljoen dollar aangeboden.
zelf morphing code regelmatig voor en kon deze wel gevonden
worden, maar die kennis is bij de heren antivirusschrijvers
kennelijk verloren gegaan.
Windows generatie.......
Door het faken van een SSL connectie met een banksite moet deze trojan zich toch blood geven.
waarbij het deze zaken kan uitvoeren.
Door het faken van een SSL connectie met een banksite moet
deze trojan zich toch blood geven.
appears to be activated when the user of an infected
computer visits a banking Web site or initiates an SSL
session.
Als het een SSL transactie detecteert, wordt de
geïnfecteerde computer volledig gemonitord
Volledig houd imo in dat er op dat moment niet alleen een
keylogger draait. Er wordt bovendien aangegeven dat het een
behoorlijk geavanceerde trojan is, het lijkt me dan niet erg
waarschijnlijk dat het ding alleen maar om keylogger speelt.
-Jeroen
Logica?
Eigen schuld....Er wordt al jaren van de kansel geroepen deze browser niet te gebruiken!
Je zou maar als onderzoeker zo'n complexe worm ontdekken (of
als computercrimineel zo'n complexe worm maken), dan zit je
er echt ongekend diep in.
Ik heb hier maar 1 woord voor: respect.
Tot dat jij het slachtoffer word van dat soort eikels...
dan heb je er geen 'respect' meer voor waarschijnlijk...
Er zijn voldoende Firefox en Opera exploits geweest waarvan
deze Trojan misbruik had kunnen maken.... (en dat zal zeker
ook nog gaan gebeuren..!)
De Trojan doet zijn best om niet gedetecteerd te worden, dit
betekend dus dat detectie niet onmogelijk is...... (dit
verhaal is op een gedecteerde Trojan gebaseerd..)
http://www.secureworks.com/research/threats/gozi/
bepaalde schoonheid in. De whitehats en de blackhats... de
jedi en de sith. Er is maar één remedie en dat is
internationaal keihard optreden tegen deze boeven. Zulk tuig
stop je niet met enkel 5 jaar... beter is voor elke
incident, 5 jaar te geven, zoals dat bij een overval of
beroving gaat. Dus bij 5000 besmette pc's... 25.000 jaar de
kerker in.
Wat ik bedoel is dat als hij aktief wordt hij uit stealth
mode moet komen
(zich bloot stellen om de ssl connectie te detecteren en te
volgen -
activated ) op dat ogenblik is ie te traceren .
Nou, dit is echt niets nieuws hoor. In 2000 was er ook zo'n
computervirus dat voortdurend in stealth mode was,
maar soms uit zijn schuilplaats moest komen. Niets nieuws
onder de zon zou ik zeggen...
Toen echte mannen nog virussen schreven in Assembly, ..
Jij moet beslist eens een cursus logica gaan volgen vriend!
Er is maar één remedie en dat is
internationaal keihard optreden tegen deze boeven. Zulk tuig
stop je niet met enkel 5 jaar... beter is voor elke
incident, 5 jaar te geven, zoals dat bij een overval of
beroving gaat. Dus bij 5000 besmette pc's... 25.000 jaar de
kerker in.
Zou jij ook jezelf zo hard beoordelen? (denk het niet) wees
ook eens wat barmhartig voor een ander!
Toen echte mannen nog virussen schreven in Assembly, kwam
zelf morphing code regelmatig voor en kon deze wel gevonden
worden, ...
"Echte mannen" hoeven hun geld niet te verdienen door middel
van diefstal...
zijn de afnemers ook weer gerust gesteld.
Voor online banking ben ik niet zo bang voor een keylogger, Rabobank lijkt
mij wat dat betreft wel vrij veilig aangezien je altijd weer nieuwe codes
moet generen. Heeft men dit in het buitenland eigenlijk ook of is het daar
nog gewoner om met alleen een ww in te loggen?
Het wordt lastiger als men on the fly dingen zou weten aan te passen op
de achtergrond. Dat ipv 100 euro naar ome Belastingdienst er ineens 100
richting Rusland verdwijnt.
juist is (verbetering is welkom) dan is deze Trojan al
maanden eerder gesignaleerd (maart 2007)
Artikel van het ISC:
http://isc.sans.org/diary.html?storyid=2498&rss
SecureWorks:
http://www.secureworks.com/research/threats/gozi/
De virusscanners zouden deze malware al detecteren.
Daarin staan ook nog links die diep ingaan op deze malware
(via pakketsniffers). Voer voor professionals...
Toen echte mannen nog virussen schreven in Assembly, kwam
zelf morphing code regelmatig voor en kon deze wel gevonden
worden, maar die kennis is bij de heren antivirusschrijvers
kennelijk verloren gegaan.
Windows generatie.......
En gelijk heb je .... ( en ik ben maar 21 winters oud. )
De verschillende morph en " rotating " zoals het hier
genoemd word, engines worden ook "los" te koop aangeboden.
En dit gebeurd al JAREN.
Whitehats lopen altijd achter de feiten aan, het gaat ze
niet om de veiligheid, het gaat ze om het geld.
hoe kom je aan die troep.
1 je opend een bijlage van iemand.
2 je bezoekt sites die heel fout zijn.
3 je gebruikt een oude internet explorer
4 je gebruikt ! internet explorer
5 je bent heel naief, en vertrouwt op de virus/spyware scanner.
6 je bent zo naief met de gedachte, gebeurd mij niet.
7 je bent gewoon heeeeel dom.
Deze posting is gelocked. Reageren is niet meer mogelijk.
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?