Nieuws
image

Nederlandse banken doelwit SpyEye Trojan

vrijdag 29 juli 2011, 11:17 door Redactie, 6 reacties

Negen procent van alle systemen die met de SpyEye Trojan zijn besmet, hebben het op Nederlandse banken voorzien. Dat blijkt uit een overzicht van beveiligingsbedrijf Trusteer. Daarmee bevindt Nederland zich in de middenmoot van aangevallen landen. Zestig procent van de bots hebben het op Amerikaanse financiële instellingen voorzien, gevolgd door Britse banken met 53%. Canada, Duitsland en Australië volgen met respectievelijk 31%, 29% en 20%.

SpyEye is een Trojaans paard speciaal ontwikkeld voor het plunderen van online bankrekeningen. Het werd later uitgebreid met onderdelen van de beruchte Zeus Trojan. Volgens Trusteer verschillen de fraudepatronen van SpyEye met die van Zeus en andere financiële malware. Zo zou het Trojaanse paard speciale code gebruiken om transactie monitoringsystemen te omzeilen.

Detectie
Banken gebruiken deze systemen om abnormaal gedrag binnen de sessie van een klant te ontdekken, dat mogelijk om malware duidt. "De ontwikkelaars van SpyEye hebben uitgevonden hoe ze deze verdediging kunnen omzeilen en proberen nu continu ervoor te zorgen dat hun activiteiten onopgemerkt blijven", zegt Mickey Boodaei van Trusteer.

Ook het aantal aangevallen landen en banken wordt elk maand uitgebreid. In mei werden banken in Midden-Oosten toegevoegd, waaronder Saudi-Arabië, Bahrein en Oman. In juni kwamen daar banken uit Venezuela, Wit-Rusland, Oekraïne, Moldavië, Estland, Letland, Finland, Japan, Hong Kong en Peru bij. Ook Rusland is een nieuwkomer op de lijst.

Reacties (6)
29-07-2011, 11:41 door Anoniem
Volgens Trusteer verschillen de fraudepatronen van SpyEye met die van Zeus en andere financiële malware. Zo zou het Trojaanse paard speciale code gebruiken om transactie monitoringsystemen te omzeilen.

wat een toelie die vent... voor de uitleg: ZeuS, SpyEye, Carberp, Silon en Gozi zijn allemaal trojans die het ZeuS webinjects formaat ondersteunen, er is dus 0 verschil tussen wat betreft de aanval op banken.
29-07-2011, 12:13 door Anoniem
Verzoekje aan security.nl: Daar er steeds meer malware voor andere platformen komt, zou ik jullie willen verzoeken om aan te geven voor welk platform het betreft.

In dit geval ga ik er maar vanuit dat SpyEye een WINDOWS Trojaans paard is.
29-07-2011, 12:38 door M_iky
@ Anoniem 12:13 dat is inderdaad een goed idee.

Hierover even een vraagje, kan met een IDS (bv. snort op een LINUX machine) zulke trojans onderscheppen of moet je dan in ander een andere richting gaan zoeken?
Iptables/Clamav/..... ?
29-07-2011, 13:02 door dutchfish
@M@iky

###
# Experimental Snort rule to find SpyEye C&C traffic
# 2010 by armbues
#
# RegEx: /^GET.*\?guid=.*&ver=\d*&stat=ONLINE.*&cpu=\d*&ccrc=\w*&md5=\w*/i
###

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"SpyEye C&C traffic"; content:"GET"; depth:3; nocase; content:"?guid="; within:256; nocase; content:"stat=ONLINE"; within:256; nocase; pcre:"/^GET.*\?guid=.*&ver=\d*&stat=ONLINE.*&cpu=\d*&ccrc=\w*&md5=\w*/i"; sid:9651338; rev:1)
29-07-2011, 13:10 door M_iky
Dank u wel dutchfish.
29-07-2011, 14:01 door Anoniem
Door dutchfish: @M@iky

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"SpyEye C&C traffic"; content:"GET"; depth:3; nocase; content:"?guid="; within:256; nocase; content:"stat=ONLINE"; within:256; nocase; pcre:"/^GET.*\?guid=.*&ver=\d*&stat=ONLINE.*&cpu=\d*&ccrc=\w*&md5=\w*/i"; sid:9651338; rev:1)


Helaas, deze rule werkt niet op de SpyEye varianten die nu uitkomen (sinds de afgelopen 4 maanden), die gebruiken namelijk een encryptie laagje over de keywords waarop in deze rule gematched wordt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search