25 maart 2006
Een van de verstontwikkelde bot Trojans heeft talloze computers besmet, al maanden achtereen. Dit werd bekend gemaakt door het beveiligingsbedrijf iDefense (Reston in Virginia). De Trojan heeft ongeveer een miljoen computers besmet en is continue in touw om persoonlijke bankgegevens van de eigenaren van de computers te achterhalen. Volgens het bedrijf hebben verschillende varianten van de Trojan ‘MetaFischer’ (ook wel Spy-Agent of PWS genoemd) ervoor gezorgd dat de afgelopen maanden honderduizenden en wellicht wel miljoenen bankrekeningen gecompromitteerd zijn. Ken Dunham, directeur van iDefense’s ‘rapid response team’, stelt dat MetaFisher is ‘pitched the usual way — via spammed e-mail that includes a link — and uses the long-patched Windows Metafile (WMF) vulnerability to silently install via a drive-by download on machines whose users simply surf to these malicious sites’.
‘This is one of those big, under-the-radar threats that we’ve been concerned about for some time’, zo zegt Dunham. ‘There has been a trend away from big-bang attacks to very targeted and sophisticated attacks that take place right under your nose. This is one of them’. Hackers hebben honderdduizenden mails verstuurd om gebruikers in Engeland, Spanje en Duitsland te verleiden om speciale websites te bezoeken die Windows Metafile gebruiken om onzichtbaar een ongewenst stuk software te downloaden dat vervolgens persoonlijke informatie en bankgegevens verzend naar een speciale server waar de betreffende gegevens worden opgeslagen en bewerkt. Als de Trojan een computer heeft besmet, verandert de malware de PC in een ‘bot’, oftewel een op afstand gecontroleerde computer. Een van de ‘command-and-control’ servers, waar gestolen gegevens worden verzameld staat in Washington DC. In vier dagen tijd melden zich 29.000 computers 561.857 keer met gestolen data. De Internet provider die de illegale website host heeft tot nu toe geweigerd de site te sluiten. Dunham noemt MetaFisher ‘the most sophisticated bot to date’, en stelt dat het verschillende unieke technische trucks vertoont. ‘MetaFisher uses HTML injection techniques to phish information from victims after they’ve logged into a targeted bank account. This lets attackers steal legitimate TAN numbers (one-time PINs used by some banks overseas) and passwords without having to draw them onto phony sites’. ‘What sets MetaFisher apart from the hundreds of other similar Trojan programs is the sophistication of the command-and-control servers used to control it’, zo zegt Eric Sites, vice president Research & Development van Sunbelt Software. ‘We have seen many Trojans with Web back-ends that collect data and send a few commands back to the bot. In contrast, MetaFisher’s management interface reveals a level of sophistication usually found only in professional IT departments. The command-and-control servers also allow hackers to modify the behavior of the bots based on information gathered from compromised systems’, zo vervolgt Sites. ‘For instance, the attack instructions and exploits that get downloaded on a victim’s computer might vary based on the operating system’. MetaFisher heeft op dit moment met name Spaanse, Britse en Duitse banken en haar klanten als doelgebied. ‘iDefense, zo zegt Dunham, ‘broke the encryption used to disguise the traffic between bots and their controllers, and has monitored that back-and-forth for several weeks. iDefense passed along the information to its parent company VeriSign, which has been working on taking down the sites used to drive-by-download the Trojan’. Bots worden steeds vaker door criminelen gebruikt om persoonlijke financile informatie te stelen door middel van verborgen code en keyloggers. Zo werd afgelopen week door beveiligingsbedrijf FaceTime een bot netwerk ontmanteld (een botnet) dat kwetsbaarheden benutte van e-commerce ‘winkelwagen’-software om uiteindelijk de klanten daarvan te benadelen.
