Verspreiding van 'trojan 2.0', zoals Finjan het fenomeen noemt in zijn Web Security Trend Report voor dit kwartaal, vindt plaats door de malware mee te laten liften op bijvoorbeeld een RSS-feed van een publieke blog service. Die verstuurt de code naar de abonnees die door de trojan besmet raken.

Het 'tussenstation' principe komt ook naar voren in de terugkoppeling. Door de gegevens van de aangevallen PC versleuteld te parkeren op legitieme websites, zoals weblogs, hoeft ook op de terugweg geen rechtstreekse verbinding te worden gelegd met de aanvallende server. Zo is de kans kleiner dat een firewall de datastroom detecteert, zo is het idee.

Eerder rapporteerde Finjan al een opkomst te zien in wat zij noemen 'dynamische code obfuscation', en deze vorm past in hetzelfde rijtje. "Wat we hier zien is een nieuwe fase in de dynamische verspreiding van malware," zegt Arien Klomp, director sales voor Finjan Central and Northern Europe. In dit geval is de distributie sterk onder handen genomen, wat het moeilijker maakt voor beveiligingspakketten om een aanval te detecteren, zo zegt Klomp.

Het verschijnsel komt ook op Nederlandse sites voor, zegt Klomp. "Laatst hebben we een website in het noorden van het land gevonden die onwetend acht stuks iframe verstuurde aan bezoekers, die ieders een aparte aanval uivoerden", zegt hij. "Die konden er niets aan doen, want de iframes kwamen van vertrouwde bronnen."

De specifieke RSS- malwaretechnologie staat volgens Finjan nog in de kinderschoenen. Concrete voorbeelden van trojans via RSS heeft wil het bedrijf niet geven. De locaties van de sites wil de beveiliger ook niet geven omdat, zo zegt een bestuurder tegen eWeek, "zo de schijn kan ontstaan dat die sites schuld dragen in het geheel." Volgens Klomp is dat juridisch nodig. "In Amerika worden websites tegenwoordig aansprakelijk gesteld als ze malware hosten, ook al kunnen ze er niets aan doen. Daarom zijn we daar voorzichtig mee."

Bron: Techworld