Trojan maakt gegevens half miljoen bankaccounts buit
Gepubliceerd: Maandag 3 november 2008
Auteur: Wilbert de Vries en Maarten Reijnders
Een groep cybercriminelen is erin geslaagd om in tweeënhalf jaar tijd de gegevens van meer dan een half miljoen bankrekeningen, bankpassen en creditcards buit te maken.
Dat stelt het RSA FraudAction Research Lab op basis van onderzoek naar het Trojaanse paard Sinowal (ook wel bekend als Torpig en Mebroot). Sinds 2006 heeft de bende die verantwoordelijk is voor deze malware, de logins voor ongeveer 300.000 bankaccounts bemachtigd. Daarnaast slaagden de cybercriminelen erin om de informatie van een vergelijkbaar aantal creditcards en bankpassen binnen te hengelen.
Sinowal beschikt over een lijst van 2700 bank- en e-commercesites. Op het moment dat een gebruiker van een geïnfecteerde pc daar probeert in te loggen, onderschept de malware de gegevens. De buitgemaakte gegevens worden vervolgens geüpload naar een server van de makers van Sinowal.
Wereldwijd zijn financiële instellingen door Sinowal getroffen, stelt RSA. Het gaat daarbij onder meer om banken in Nederland, de Verenigde Staten, Canada, Australië, Duitsland en Spanje. Opmerkelijk genoeg zijn er geen Russische accounts gecompromitteerd. Security-onderzoekers gaan er al langer van uit dat de makers van Torpig/Mebroot zich in Rusland bevinden.
De makers van Sinowal brengen regelmatig nieuwe versies van hun malware uit. Tussen april en oktober ging het om zo'n 60 tot 80 nieuwe varianten per maand. Sinowal probeert onder de radar te blijven door zich te nestelen in de master boot record (MBR). Dat maakt het lastiger om de malware op te sporen.
De bende verspreidt Sinowal door kwaadaardige code toe te voegen aan gehackte, legitieme sites. De kwaadaardige code probeert vervolgens misbruik te maken van ongepatchte lekken op de pc's van bezoekers van de sites. Het gaat daarbij om kwetsbaarheden in plugins als Macromedia Flash en de Quicktime Player van Apple.
Bron: Techworld
