En ny bank-malware med potentiale til at blive så alvorlig som en af de mest hærgrende trojaner nogensinde, Zeus, kan være på vej til at brede sig.
Den nye malware hedder 'Dyreza' eller 'Dyre' og bygger på man-in-the-middle-metoden.
Her kan hackeren via malwaren opfange web-trafik og dermed vitale netbank-oplysninger, selv om brugerne tror, at de anvender en krypteret forbindelse til deres netbank.
'Browser hooking'
Dyreza anvender en metode, der hedder 'browser hooking,' hvor computeren kompromitteres, så ukrypteret data kan opsnappes, og hvor malwaren dernæst griber ind, hvis brugeren forsøger at oprette en sikker SSL-forbindelse med et website.
Det gør, at Dyreza vil omdirigere brugere, der logger ind på en sikker netbank, så brugeren i stedet kommer hen til Dyrezas egne servere, lyder det fra sikkerheds-eksperten Ronnie Tokazowski fra sikkerhedsselskabet PhishMe.
Danske Peter Kruse fra sikkerhedsselskabet CSIS skriver i en post, at Dyreza fungerer ligesom Zeus, men at malwaren ikke er i direkte familie med Zeus.
"Malwaren leveres gennem spam-kampagner," skriver han.
Findes i Riga
CSIC har lokaliseret nogle af Dyrezas såkaldte command-and-control-servere, som CSIS har skaffet sig adgang til.
Her har sikkerhedsfolkene fundet konti beregnet til malkning af ofrenes bankbøger - de såkaldte 'money mule-konti' - med adresse i Letlands hovedstad, Riga.
'Money mules' er personer, hvis konti anvendes til kortvarig opbevaring af stjålne penge, før pengene skippes videre til endestationen.
Ifølge Peter Kruse er det dog uklart, om de pågældende lettiske 'money mules' beholder pengene, eller om de blot lejer deres konti ud til andre, som det var tilfældet med forretningsmodellen bag Zeus.
