Sofistikeret trojaner endnu smartere efter opdatering

Computerworld News Service: Et af de mere sofistikerede eksemplarer af malware, der er i omløb, har fået en opgradering, der gør det muligt for de kriminelle at udnytte stjålne data endnu hurtigere.

Trojaneren Zeus, der har fået skylden for at muliggøre utallige indbrud i netbank-konti, bruger nu ifølge sikkerhedsfirmaet RSA en instant messaging-komponent, der omgående varsler hackere, når Zeus har opsnappet nogens autentificerings-oplysninger.

Dette kan gøre hackere i stand til meget hurtigt at udnytte tidsfølsomme informationer, som eksempelvis engangs-kodeord, der nu ofte bruges i netbanker.

Og Zeus er ikke den eneste malware, der udnytter instant messaging, bemærker RSA i selskabets rapport om online-svindel [pdf] fra august.

Et andet program, der stjæler kodeord, nemlig programmet Sinowal, brugte det allerede tilbage i 2008.

Sendes til fjernserver
Når Zeus først er kommet ind på en pc, sender den brugernavne og kodeord til en fjernserver, som hackeren derefter er nødt til at have adgang til.

Data fra RSA viser, at adskillige varianter af Zeus har et Jabber instant messaging-modul.

Jabber-projektet benytter sig som andre tjenester som eksempelvis Googles Gmail-chat-funktion af XMPP (Extensible Messaging and Presence Protocol), der er en åben standard for instant messaging.

Hackerne har så to Jabber-konti: En til at sende information og en til at modtage. Når Zeus opsnapper login-oplysninger, sender den dem til en fjernserver. Jabber-modulet kigger så efter login-oplysninger til specifikke finansielle institutioner og transmitterer dem til hackeren som en instant message, forklarer RSA.

Millioner af computere er inficerede
Antallet af Zeus-inficerede computere alene i USA blev i sidste måned vurderet af sikkerhedsfirmaet Damballa til at ligge på omkring 3,6 millioner, hvilket gør denne malware til et af de mest udbredte skadelige programmer, ligesom det danner grundlag for et meget stort botnet.

Man kan blive inficeret, hvis man ikke har installeret de seneste sikkerhedsopdateringer til sin computer og besøger et website, der er designet til automatisk at søge efter softwaresårbarheder, og som så installerer malwaren.

Man kan også selv komme til at installere Zeus, hvis man narres til at åbne en e-mail-vedhæftning, der indeholder Zeus.

Zeus, som regnes for at være et produkt af en russisk hacker, der går under navnet A-Z, sælges i undergrundsfora til spirende netkriminelle, lyder det fra et andet sikkerhedsfirma, Secureworks.

Malwaren kan skræddersys efter køberens behov. For eksempel kan Zeus kodes til kun at opsnappe login-oplysningerne til en specifik liste af websites.

Populært blandt hackere
"Brugervenligheden ved Zeus' crimeware-toolkit, som betyder, at folk meget let kan skabe deres egne skræddersyede trojanske botnet, har gjort, at det er blevet det foretrukne værktøj til begyndende kriminelle til at involvere sig i undergrundsøkonomien," skriver Peter Coogan fra Symantec på en af virksomhedens blogs.

"Den større tilgængelighed af dette toolkit på undergrundsfora har også ført til, at det anvendes mere."

Zeus har været på sikkerhedseksperters radar i et stykke tid nu, og der findes endda en gruppe, der bestyrer et website, der følger Zeus-inficeringerne og de command-and-control-servere, der kan udsende instruktioner til de inficerede pc'er.

ZeuS Tracker tæller nu 802 værter, der er inficerede med Zeus. ¨

Organisationen udgiver også en sort liste, som administratorer kan bruge til at sikre, at folk på deres netværk ikke har adgang til skadelige Zeus-relaterede domæner.

Oversat af Thomas Bøndergaard