image

SpyEye Trojan verstopt zich in browser

maandag 25 oktober 2010, 13:29 door Redactie, 10 reacties

Een steeds populairder wordend Trojaans paard verstopt zich nu ook in browser om bankrekeningen te plunderen, zo hebben onderzoekers ontdekt. Volgens Santiago Vicente van beveiligingsbedrijf S21sec, past de SpyEye Trojan de Man-in-the-Browser (MitB) aanvalstechniek toe. Vicente noemt dit een nieuwe techniek, maar andere banking Trojans doen dit al jaren. Toch zouden verschillende organisatie de afgelopen week het doelwit van een MitB-aanval zijn geworden en is er sinds september een toename van het aantal SpyEye-infecties. De beveiligingsonderzoeker denkt dan ook dat het om een onlangs gelanceerde campagne gaat.

SpyEye wordt in verschillende fora verkocht en zou de meeste virusscanners kunnen omzeilen. Daarnaast kan het ingevoerde gegevens stelen, HTML code aan websites toevoegen, FTP en POP3 inloggegevens stelen en HTTP wachtwoorden stelen. De nieuwste versie maakt ook screenshots van bepaalde banksites en is in staat om een MitB-aanval uit te voeren

Hoewel de MitB-techniek volledig functioneel is, denkt Vicente dat het nog om een testfase gaat. "De voornaamste en meest zorgwekkende feature is de HTML injectie." Bij het onderzochte incident werd de injectie volledig door Javascript code uitgevoerd, waardoor de binary de Man-in-the-Brower kon uitvoeren. Het gaat dan om het plunderen van bankrekeningen, waarbij SpyEye alleen rekeningen vanaf een bepaald geldbedrag leegt. "Door het onderscheppen van de legitieme sessie van de gebruiker, wordt het detecteren van de gepleegde fraude een stuk lastiger."

Reacties (10)
25-10-2010, 14:02 door Anoniem
Kortom internet bankieren is unsafe. Tenzij je zeker weet dat je OS en browser oke is.


Maar hoe wil je je daarvan verzekeren? Op de blauwe ogen van je leverancier vertrouwen?
25-10-2010, 14:28 door Anoniem
Ik ben benieuwd of er een realistisch PoC is voor Nederlandse banken. ING, RABO, ABN-AMRO.
25-10-2010, 15:38 door Anoniem
Door Anoniem: Ik ben benieuwd of er een realistisch PoC is voor Nederlandse banken. ING, RABO, ABN-AMRO.

Dat zou ik ook graag willen weten. Maw. dat deze banken op korte termijn onderzoeken of hun klanten tot de 'doelgroep' (kunnen) behoren.
25-10-2010, 15:52 door Anoniem
Dat deed die al 5 maanden geleden :) inclusief de webbrowser FireFox
25-10-2010, 16:40 door [Account Verwijderd]
[Verwijderd]
25-10-2010, 18:18 door Anoniem
Door Peter V: Zo aan het verhaal te lezen van S21sec, werkt deze SpyEye trojan alleen onder Windows. Dus dat wordt weer internetbankieren onder Linux.

Desnoods vanaf een live-CD! De enige manier om echt veilig te bankieren op een windows systeem.
25-10-2010, 19:04 door Anoniem
Door Anoniem: Ik ben benieuwd of er een realistisch PoC is voor Nederlandse banken. ING, RABO, ABN-AMRO.
Die is er misschien nog niet, maar het is niet moeilijk te bedenken hoe het fout kan gaan. Door in de browser te gaan zitten kan wat de gebruiker ziet en intoetst onmerkbaar anders zijn dan wat de bank verstuurt en ontvangt. Domweg door het standaard Document Object Model aan te spreken vanuit aan de webpagina toegevoegde JavaScript kan ALLES in die pagina worden aangepast, dat is in wezen niet eens moeilijk als je de toegang eenmaal hebt, zeker als je alleen maar de tegenrekening door die van een katvanger hoeft te vervangen, en terugverandert waar de bank hem weer toont. Dit werkt zolang de overboeking niet zo groot is dat het tegenrekeningnummer zelf in de challenge wordt meegenomen.

Door Anoniem: Kortom internet bankieren is unsafe. Tenzij je zeker weet dat je OS en browser oke is.

Maar hoe wil je je daarvan verzekeren? Op de blauwe ogen van je leverancier vertrouwen?
Bankieren vanaf een besturingssysteem waar de trojan niet voor geschreven is, zoals Peter V suggereert, moet voorlopig voldoende zijn. Download een live cd en je kan aan de gang zonder iets te moeten installeren. De installatie-cd van Ubuntu is meteen als live cd te gebruiken, maar hij heeft helaas wel veel tijd nodig om op te starten. Misschien zouden banken lichte, snel startende live cd's moeten verspreiden onder hun klanten die gecontroleerd goed zijn en niets anders doen dan een browser starten die is aangepast om alleen maar verbinding te kunnen maken met de juiste banksite.
25-10-2010, 22:15 door Anoniem
Door Anoniem:
Door Anoniem: (...) lichte, snel startende live cd's moeten verspreiden onder hun klanten die gecontroleerd goed zijn en niets anders doen dan een browser starten (...)
Chrome Web OS?
26-10-2010, 20:17 door Anoniem
Door Anoniem:
Door Anoniem: (...) lichte, snel startende live cd's moeten verspreiden onder hun klanten die gecontroleerd goed zijn en niets anders doen dan een browser starten (...)
Chrome Web OS?
Dat zou best wel eens een goede basis kunnen zijn. Maar een traditionele Linux-distributie of een BSD kan ook. Ik heb zojuist onder Linux de hele grafische wereld afgesloten, en in een textconsole ingetypt:

startx /usr/bin/firefox http://www.security.nl/

Ik draai X-windows op dit moment zonder een window- of desktopmanager te hebben opgestart. Geen KDE, Gnome, wat dan ook. Desondanks zit ik in Firefox, kan ik met de preview-knop de popup met een preview oproepen, alles wat ik nodig heb om dit bericht te kunnen opstellen werkt. De windows hebben alleen geen randjes of andere decoraties (ik heb dus de sluiten-klop in de preview ook echt nodig om de preview af te sluiten, en heb geen idee hoe ik de popup zou moeten verplaatsen), en ik kan geen andere toepassingen starten in deze grafische sessie als Firefox het niet voor me doet. Als ik Firefox afsluit sluit ik de hele grafische sesie af. Dit geheel kan bij het booten automatisch gestart worden en je kan na afsluiten de hele computer automatisch afsluiten. En je kan een live-cd maken waarop in het geheel geen software aanwezig is die voor die ene functie niet nodig is. Een iptables-configuratie die alleen verbinding toestaat met het ip-adres waarop de banksite draait, de domeinnaam in de hosts-file, en een browserconfiguratie waarin alleen dat ene benodigde SSL-certificaat staat, en je bent al een leuk eind op weg, denk ik.

Ik denk dat het zonder (eenvoudige) windowmanager te spartaans is, maar dit illustreert het idee. Er bestaan voorbeelden van Linuxsystemen, SimPC voor ouderen bijvoorbeeld, die wat meer aan boord hebben maar desondanks tot iets heel basaals zijn dichtgetimmerd. Dat kan, Linux leent zich daarvoor, *BSD ongetwijfeld net zo goed. Wie weet is Chrome OS weinig meer dan een op deze manier uitgeklede Linux.
02-11-2010, 19:39 door Anoniem
het is onmogelijk om je er tegen te wapenen.
Jammer maar gelukkig doe ik niet aan internetbankieren xd
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.