Nieuws
image

Windows 7 64-bit doelwit digitale bankrover

zondag 27 februari 2011, 15:55 door Redactie, 18 reacties

Er is een nieuw Trojaans paard ontdekt dat internetbankierders met Windows 64-bit systemen probeert aan te vallen. De Tatanga Trojan beschikt over Man-in-the-browsers functies om banken in Spanje, Groot-Brittannië, Duitsland en Portugal aan te vallen. Het kan bedragen overmaken, katvangers aansturen en het rekeningoverzicht dat het slachtoffer te zien krijgt manipuleren.

Tatanga wordt nog nauwelijks door anti-virusbedrijven herkend, slechts drie virusscanners geven een generiek alarm bij de aanwezigheid van de malware. En dat is een probleem, want de malware is in staat om aanwezige virusscanners op het systeem te blokkeren.

Tatanga is volgens beveiligingsbedrijf S21sec vrij geavanceerd en gebruikt rootkit-technieken om zichzelf te verbergen. Daarbij valt het een groot aantal browsers aan, kan het e-mailadressen stelen en andere banking Trojans zoals Zeus verwijderen. Onder de aangevallen browsers bevinden zich niet alleen Internet Explorer, Google Chrome en Firefox, maar ook Opera, MinefieldMaxthoon, Netscape, Safari en Konqueror.

Windows
Een andere functionaliteit van de Trojan is de ondersteuning van Windows 64-bit systemen. De malware injecteert zichzelf in 32-bit systemen in explorer.exe en wordt op 64-bit systemen als een normaal proces uitgevoerd. Om analyse door anti-virusbedrijven te voorkomen gebruikt het verschillende anti-Virtual Machine en anti-debugging technieken.

"We hebben veel opmerkingen en testfuncties gezien, dus misschien is dit slechts een test om de functionaliteit te verbeteren voordat de malware zich verspreidt", zegt Jozsef Gegeny van S21sec. De analist ontdekte tijdens de analyse dat Tatanga ook het downloaden van de Trusteer Rapport tool probeert te voorkomen. Banken bieden deze plugin aan hun klanten aan als extra beveiliging tijdens het internetbankieren.

Bijlage
Opmerkelijk genoeg waarschuwt ook beveiligingsbedrijf Webroot voor een Zeus-achtige banking Trojan die de Trusteer plugin aanvalt. Deze malware probeert de uitbreiding niet te blokkeren, maar uit te schakelen. Of het Trojaanse paard hier ook in slaagt is niet onderzocht. Wel is bekend dat de naamloze malware banken in Amerika, Australië, Duitsland, Italië, Rusland en Cyprus aanvalt.

De Trojan verspreidt zich via e-mail en doet zich voor als een PDF-bijlage. In werkelijkheid gaat het om een uitvoerbaar .exe-bestand met een Adobe PDF-icoon. Bij het openen van het Trojaanse paard wordt onder andere geprobeerd een rootkit te installeren.

Reacties (18)
27-02-2011, 16:58 door peanuty
slechts drie virusscanners geven een generiek alarm bij de aanwezigheid van de malware


Welke drie?
27-02-2011, 17:18 door [Account Verwijderd]
[Verwijderd]
27-02-2011, 17:29 door [Account Verwijderd]
[Verwijderd]
27-02-2011, 18:37 door [Account Verwijderd]
[Verwijderd]
27-02-2011, 20:39 door [Account Verwijderd]
[Verwijderd]
27-02-2011, 20:44 door [Account Verwijderd]
[Verwijderd]
27-02-2011, 20:46 door [Account Verwijderd]
[Verwijderd]
27-02-2011, 23:03 door Anoniem
http://securityblog.s21sec.com/2011/02/tatanga-new-banking-trojan-with-mitb.html

http://www.virustotal.com/file-scan/report.html?id=3c9ecf9f0b3c1b93b20ad5778b42c218bffa749de29a155c432e3521e2875c50-1297975866
28-02-2011, 06:41 door Syzygy
Door Krakatau:
Door Peter V: Over een aantal dagen klopt ook NEGEN niet meer.

Dus...niet getreurd Krakatau..
Oeps! Dan is het probleem nog veel ernstiger dan je in eerste instantie had herkend! Hoe gaan we dit nu weer oplossen? Is er een link die altijd naar de meest recente versie van die detectie pagina verwijst?

Oei, oei, oei ;-)

Ik zou onder mijn bureau gaan zitten en een alu hoedje op doen (better safe than sorry)
28-02-2011, 07:43 door Anoniem

Ik zou onder mijn bureau gaan zitten en een alu hoedje op doen (better safe than sorry)

Kijk, dit is een prima idee, alleen..... hoe kom ik dan bij mijn CoolAid?

Misschien moeten we maar weer terug naar kasgeld. Loon uitbetaald in een envelop in het cafe op vrijdag middag.
28-02-2011, 07:45 door peanuty
bedankt Krakatau
28-02-2011, 10:08 door Anoniem
Oplossing: gebruik uitsluitend een live CD voor internet bankieren? Op deze manier kunnen (vermoedelijk) geen wijzigingen in het systeem worden aangebracht door malware daar de programmas op de CD read only zijn.... Zou dit een oplossing kunnen zijn?

Greetz,

Mike
28-02-2011, 10:40 door SirDice
Door Anoniem: Oplossing: gebruik uitsluitend een live CD voor internet bankieren? Op deze manier kunnen (vermoedelijk) geen wijzigingen in het systeem worden aangebracht door malware daar de programmas op de CD read only zijn.... Zou dit een oplossing kunnen zijn?
Nee, het systeem wordt immers eerst in het geheugen geladen en daar kan het wel aangepast worden. Dat het zich niet op de CD kan nestelen is leuk, de infectie is dan niet blijvend, maar de lopende sessie kan wel degelijk geinfecteerd worden. Doordat Live-CD images over het algemeen wat verourderde software hebben is dat relatief makkelijk te doen.
28-02-2011, 11:51 door Marius
Een speciale Virtualbox / VMWare sessie met een standaard windows 7 of linux met extra virusscanner(s) bied misschien een oplossing, maar wat een omweg om je bankzaken te doen alleen vanwege dit k**** virus.
28-02-2011, 12:04 door Thasaidon
Door SirDice:
Door Anoniem: Oplossing: gebruik uitsluitend een live CD voor internet bankieren? Op deze manier kunnen (vermoedelijk) geen wijzigingen in het systeem worden aangebracht door malware daar de programmas op de CD read only zijn.... Zou dit een oplossing kunnen zijn?
Nee, het systeem wordt immers eerst in het geheugen geladen en daar kan het wel aangepast worden. Dat het zich niet op de CD kan nestelen is leuk, de infectie is dan niet blijvend, maar de lopende sessie kan wel degelijk geinfecteerd worden. Doordat Live-CD images over het algemeen wat verourderde software hebben is dat relatief makkelijk te doen.
Ja, maar als jij je systeem boot met een live-cd, de browser opent, naar je bank-site surft, je bankzaken doet en daarna je systeem weer afsluit... (en dus niet naar andere rare sites etc gaat en je HD niet aanspreekt tijdens deze sessie...)
dan maakt het niets uit of je een oudere live-cd gebruikt of niet. De enige manier om op deze manier geïnfecteerd te raken is als de site van je bank zelf geïnfecteerd is. (en dan heb ik het even niet over de ABN AMRO site ;-) )

Zelf draai ik tegenwoordig een aparte browser (anders dan me gewone) in een sandbox. In de firewall (niet de windowsfirewall) sta ik deze browser alleen toe te verbinden met mijn DNS servers en de IP range welke de bank gebruikt.
En na het doen van mijn bankzaken word de sandbox geleegd.
Host files aanpassen heeft dus geen zin, want de browser mag alleen naar de ip range van mijn bank en DNS.
28-02-2011, 13:15 door SirDice
Door Thasaidon:
Door SirDice:
Door Anoniem: Oplossing: gebruik uitsluitend een live CD voor internet bankieren? Op deze manier kunnen (vermoedelijk) geen wijzigingen in het systeem worden aangebracht door malware daar de programmas op de CD read only zijn.... Zou dit een oplossing kunnen zijn?
Nee, het systeem wordt immers eerst in het geheugen geladen en daar kan het wel aangepast worden. Dat het zich niet op de CD kan nestelen is leuk, de infectie is dan niet blijvend, maar de lopende sessie kan wel degelijk geinfecteerd worden. Doordat Live-CD images over het algemeen wat verourderde software hebben is dat relatief makkelijk te doen.
Ja, maar als jij je systeem boot met een live-cd, de browser opent, naar je bank-site surft, je bankzaken doet en daarna je systeem weer afsluit... (en dus niet naar andere rare sites etc gaat en je HD niet aanspreekt tijdens deze sessie...)
dan maakt het niets uit of je een oudere live-cd gebruikt of niet. De enige manier om op deze manier geïnfecteerd te raken is als de site van je bank zelf geïnfecteerd is. (en dan heb ik het even niet over de ABN AMRO site ;-) )
Vergeet ook niet dat je router wellicht niet meer de correcte DNS servers gebruikt.
02-03-2011, 15:42 door adbc
Misschien toch effe terug naar Phone Banking ?
03-03-2011, 16:16 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search