In de toekomst wordt van multi-inzetbare malware als 'Soraya' bovendien verwacht dat het in staat zal zijn inloggegevens van FTP-servers te ontvreemden, zo zeggen onderzoekers van het Arbor Networks Security Engineering and Response Team (ASERT).

Soraya betekent 'rijk' in het Iraans en is een opvallend stukje malware omdat het met zoveel mogelijk functionaliteit wordt uitgerust. "Het is een soort all-in-one pakket voor malwareschrijvers", zegt analist Matthew Bing van ASERT.

Eind mei sloegen beveiligers ook alarm voor de kersverse banking trojan 'Zberp' die alle slechte eigenschappen van de beruchte trojans Zeus en Carberp combineert en zich achter een Apple-logo verschuilt.

Soraya is in staat om point-of-sale (POS) systemen te hacken en de gegevens van bankpassen door te sturen zodat deze door de lezer bij de kassa worden gehaald. Ook maakt het gebruik van het Luhn-algoritme waarmee van creditcardcardnummers kan worden gecheckt. "Vroeger grepen RAM-scrapers iedere 16-bit lange string, maar Soraya is veel geavanceerder", stelt Bing.

Manusje van alles

Bovendien kan Soraya data vanuit webformulieren stelen op dezelfde manier als de bekende Zeus-malware dat doet. Opgevangen data wordt doorgestuurd naar servers. Soraya werkt daarin net als bekende andere malware met zogenaamde command-and-control (C&C) servers.

Volgens ASERT is Soraya volop in gebruik om op verschillende plekken in de wereld financiële data te ontvreemden. Deze worden vervolgens op criminele fora verhandeld. Vooral bedrijven in de Verenigde Staten, Costa Rica en Canada worden door de malwarekit getroffen.