Selv om du ikke har fået stjålet penge fra din bankkonto, så er det alligevel en god idé at tjekke, om din PC er inficeret.
21. februar 2012, 13:50
Det var en usædvanligt udspekuleret trojansk bagdør, som blev brugt til at stjæle i alt 700.000 kroner fra otte kunder i Danske Bank tidligere på måneden. Det fortæller sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS, som har analyseret det ondsindede program, skriver Version2.
»Vi har pillet koden fra hinanden stump for stump. De har gjort sig særlig umage for at ramme NemID og har lagt ekstra meget tid for at kunne lave det her realtids-phishing,« siger Peter Kruse til Version2.
Angrebet foregik ved, at brugerne først blev inficeret med en trojansk bagdør, som brugerne blev eksponeret for via 'en legitim kanal'.
Peter Kruse vil på nuværende tidspunkt ikke specificere nærmere, hvilken legitim kanal der er tale om, men CSIS har tidligere oplyst, at angrebet skete via en legitim hjemmeside. Der er altså ikke som i angrebet mod Nordea-kunder i august sidste år tale om et phishing-forsøg, hvor brugerne modtog en e-mail med et link til en falsk Nordea-side.
Peter Kruse oplyser, at trojaneren forsøgte at udnytte tre forskellige sårbarheder, alt efter hvilken browser, styresystem og hvilke plugins brugeren anvendte. Ved hjælp af sårbarhederne kunne den trojanske bagdør installeres, uden brugeren opdagede noget.
Bagmændene havde også gjort sig ekstra anstrengelser for at ramme de danske bankkunder. De fleste trojanske bagdøre, som spredes på internettet, er varianter fabrikeret ved hjælp af et sæt standard-byggeklodser, hvor man med få klik kan lave sig en ny variant af en kendt trojaner. Men altså ikke denne her:
»De har udviklet koden fra bunden. De må mene, at det er en god nok investering,« siger Peter Kruse.
Samtidig er trojaneren, som CSIS har døbt Banktexeasy, udelukkende blevet distribueret til Danmark og kunne dermed krybe under radaren for antivirussoftwaren, fordi bagmændene brugte helt ny programkode og servere, som ikke i forvejen var kendt af sikkerhedsfirmaerne.
Da først trojaneren lå på brugerens PC, så ventede programmet på, at brugeren loggede på med NemID, hvorefter bagmændene kunne opsnappe brugernavn og adgangskode. Mens brugeren var logget på, fik han vist et popup-vindue, hvor han blev bedt om at angive en ekstra NemID-nøgle.
I baggrunden havde bagmændene nemlig fra deres server forbundet til Danske Banks netbank, hvor de kunne logge på med det samme brugernavn og adgangskode. Da banken spurgte efter en NemID-nøgle, sendte bagmændene nøglenummeret videre til det popup-vindue, som dukkede op på brugerens PC.
Hvis brugeren indtastede den tilhørende nøgle fra sit papkort, blev det sendt videre til bagmændene, som kunne oplyse det til Danske Banks netbank og dermed fuldføre login'et.
Det var ingen nem opgave at analysere trojaneren, da CSIS først havde fået et eksemplar ind i laboratoriet, fordi programmet indeholdt en række krumspring, som var beregnet til at undgå debugging-værktøjer og virtuelle maskiner, som bruges til at analysere et ukendt programs opførsel.
Det vides endnu ikke, hvorvidt flere brugere end de otte Danske Bank-kunder er blevet inficeret med Banktexeasy. Men der kan være mange flere, som har fået trojaneren, men hvor bagmændene ikke har haft mulighed for at udnytte bagdøren til at stjæle penge.
Peter Kruse oplyser også, at selv om angrebet ser ud til at være overstået i denne omgang, så er det en god idé at kontrollere, om man skulle være inficeret.
»Den høster også data fra PCen. Så hvis man er inficeret, så bør man skifte brugernavn og adgangskode til de tjenester, man bruger,« siger Peter Kruse.
Der er dog ikke længere fare for, at trojaneren kan gøre mere skade på nuværende tidspunkt, fordi truslen ifølge CSIS er blevet afmonteret. Men der kan altså være sket skade, inden trojaneren blev opdaget og uskadeliggjort.
Berlingske Forum - Skriv kommentar
Husk: Hold en god tone i debatten