image

Bank botnet beschermt katvangers

dinsdag 6 oktober 2009, 13:33 door Redactie, 0 reacties

Een berucht Trojaans paard dat bankrekeningen plundert hanteert een nieuw tactiek om katvangers te beschermen en onderzoekers en opsporingsdiensten om de tuin te leiden. De URLZone Trojan is een botnet van zo'n 6000 besmette computers dat voornamelijk actief in Duitsland is. Het steelt bedragen tussen de 3.000 en 10.000 euro per rekening, die vervolgens naar katvangers worden overgemaakt. Deze katvangers ontvangen het geld, houden een gedeelte en nemen de rest op, om vervolgens via Western Union of naar een ander rekeningnummer over te maken.

De criminelen kregen door dat onderzoekers hen in de gaten hielden, wat werd bevestigd door het rapport van Finjan. Die ontdekten dat de malware digitale afschriften vervalst om slachtoffers niet te alarmeren. Om onderzoekers en opsporingsdiensten bij het vinden van echte katvanger rekeningen te dwarsbomen, ontwikkelde de bende een speciale manier. Zodra de server een besmette computer ontdekt die niet bij het botnet bekend is, stuurt die een willekeurige rekening naar het Trojaanse paard waar die het geld naar toe moet overmaken.

Uniek
Hiervoor heeft de bende een speciale server-side code opgenomen die het achterhalen van de echte katvanger-rekeningen voorkomt. Elke besmette machine krijgt een uniek identificatienummer, zodat de server de machine kan herkennen. Is dat niet het geval, dan zorgt de code in kwestie ervoor dat de vreemde computer de gegevens van 400 legitieme rekeningen krijgt, die niets met de bende te maken hebben en ook geen katvanger zijn.

"De code is duidelijk het meest unieke kenmerk van URLZone en laat zien hoe de beheerders hun criminele netwerk beschermen", aldus fraudbestrijder RSA. In het verleden konden onderzoekers de katvangers achterhalen, om zo vervolgens transacties te stoppen, maar dat is nu een stuk lastiger geworden. Banken zijn inmiddels over de werking van de Trojan ingelicht.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.