Nieuws

Windows 7 64-bit doelwit digitale bankrover

zondag 27 februari 2011, 15:55 door Redactie, 18 reacties

Er is een nieuw Trojaans paard ontdekt dat internetbankierders met Windows 64-bit systemen probeert aan te vallen. De Tatanga Trojan beschikt over Man-in-the-browsers functies om banken in Spanje, Groot-Brittannië, Duitsland en Portugal aan te vallen. Het kan bedragen overmaken, katvangers aansturen en het rekeningoverzicht dat het slachtoffer te zien krijgt manipuleren.

Tatanga wordt nog nauwelijks door anti-virusbedrijven herkend, slechts drie virusscanners geven een generiek alarm bij de aanwezigheid van de malware. En dat is een probleem, want de malware is in staat om aanwezige virusscanners op het systeem te blokkeren.

Tatanga is volgens beveiligingsbedrijf S21sec vrij geavanceerd en gebruikt rootkit-technieken om zichzelf te verbergen. Daarbij valt het een groot aantal browsers aan, kan het e-mailadressen stelen en andere banking Trojans zoals Zeus verwijderen. Onder de aangevallen browsers bevinden zich niet alleen Internet Explorer, Google Chrome en Firefox, maar ook Opera, MinefieldMaxthoon, Netscape, Safari en Konqueror.

Windows
Een andere functionaliteit van de Trojan is de ondersteuning van Windows 64-bit systemen. De malware injecteert zichzelf in 32-bit systemen in explorer.exe en wordt op 64-bit systemen als een normaal proces uitgevoerd. Om analyse door anti-virusbedrijven te voorkomen gebruikt het verschillende anti-Virtual Machine en anti-debugging technieken.

"We hebben veel opmerkingen en testfuncties gezien, dus misschien is dit slechts een test om de functionaliteit te verbeteren voordat de malware zich verspreidt", zegt Jozsef Gegeny van S21sec. De analist ontdekte tijdens de analyse dat Tatanga ook het downloaden van de Trusteer Rapport tool probeert te voorkomen. Banken bieden deze plugin aan hun klanten aan als extra beveiliging tijdens het internetbankieren.

Bijlage
Opmerkelijk genoeg waarschuwt ook beveiligingsbedrijf Webroot voor een Zeus-achtige banking Trojan die de Trusteer plugin aanvalt. Deze malware probeert de uitbreiding niet te blokkeren, maar uit te schakelen. Of het Trojaanse paard hier ook in slaagt is niet onderzocht. Wel is bekend dat de naamloze malware banken in Amerika, Australië, Duitsland, Italië, Rusland en Cyprus aanvalt.

De Trojan verspreidt zich via e-mail en doet zich voor als een PDF-bijlage. In werkelijkheid gaat het om een uitvoerbaar .exe-bestand met een Adobe PDF-icoon. Bij het openen van het Trojaanse paard wordt onder andere geprobeerd een rootkit te installeren.

Simpel lek onthult LastPass accountgegevens

Firefox plugin voor veilig webwinkelen

Reacties (18)

27-02-2011, 16:58 door peanuty

slechts drie virusscanners geven een generiek alarm bij de aanwezigheid van de malware

Welke drie?

27-02-2011, 17:18 door [Account Verwijderd]

[Verwijderd]

27-02-2011, 17:29 door [Account Verwijderd]

[Verwijderd]

27-02-2011, 18:37 door [Account Verwijderd]

[Verwijderd]

27-02-2011, 20:39 door [Account Verwijderd]

[Verwijderd]

27-02-2011, 20:44 door [Account Verwijderd]

[Verwijderd]

27-02-2011, 20:46 door [Account Verwijderd]

[Verwijderd]

27-02-2011, 23:03 door Anoniem

http://securityblog.s21sec.com/2011/02/tatanga-new-banking-trojan-with-mitb.html

http://www.virustotal.com/file-scan/report.html?id=3c9ecf9f0b3c1b93b20ad5778b42c218bffa749de29a155c432e3521e2875c50-1297975866

28-02-2011, 06:41 door Syzygy

Door Krakatau:

Door Peter V: Over een aantal dagen klopt ook NEGEN niet meer.

Dus...niet getreurd Krakatau..

Oeps! Dan is het probleem nog veel ernstiger dan je in eerste instantie had herkend! Hoe gaan we dit nu weer oplossen? Is er een link die altijd naar de meest recente versie van die detectie pagina verwijst?

Oei, oei, oei ;-)

Ik zou onder mijn bureau gaan zitten en een alu hoedje op doen (better safe than sorry)

28-02-2011, 07:43 door Anoniem

Ik zou onder mijn bureau gaan zitten en een alu hoedje op doen (better safe than sorry)

Kijk, dit is een prima idee, alleen..... hoe kom ik dan bij mijn CoolAid?

Misschien moeten we maar weer terug naar kasgeld. Loon uitbetaald in een envelop in het cafe op vrijdag middag.

28-02-2011, 07:45 door peanuty

bedankt Krakatau

28-02-2011, 10:08 door Anoniem

Oplossing: gebruik uitsluitend een live CD voor internet bankieren? Op deze manier kunnen (vermoedelijk) geen wijzigingen in het systeem worden aangebracht door malware daar de programmas op de CD read only zijn.... Zou dit een oplossing kunnen zijn?

Greetz,

Mike

28-02-2011, 10:40 door SirDice

Door Anoniem: Oplossing: gebruik uitsluitend een live CD voor internet bankieren? Op deze manier kunnen (vermoedelijk) geen wijzigingen in het systeem worden aangebracht door malware daar de programmas op de CD read only zijn.... Zou dit een oplossing kunnen zijn?

Nee, het systeem wordt immers eerst in het geheugen geladen en daar kan het wel aangepast worden. Dat het zich niet op de CD kan nestelen is leuk, de infectie is dan niet blijvend, maar de lopende sessie kan wel degelijk geinfecteerd worden. Doordat Live-CD images over het algemeen wat verourderde software hebben is dat relatief makkelijk te doen.

28-02-2011, 11:51 door Marius

Een speciale Virtualbox / VMWare sessie met een standaard windows 7 of linux met extra virusscanner(s) bied misschien een oplossing, maar wat een omweg om je bankzaken te doen alleen vanwege dit k**** virus.

28-02-2011, 12:04 door Thasaidon

Door SirDice:

Ja, maar als jij je systeem boot met een live-cd, de browser opent, naar je bank-site surft, je bankzaken doet en daarna je systeem weer afsluit... (en dus niet naar andere rare sites etc gaat en je HD niet aanspreekt tijdens deze sessie...)
dan maakt het niets uit of je een oudere live-cd gebruikt of niet. De enige manier om op deze manier geïnfecteerd te raken is als de site van je bank zelf geïnfecteerd is. (en dan heb ik het even niet over de ABN AMRO site ;-) )

Zelf draai ik tegenwoordig een aparte browser (anders dan me gewone) in een sandbox. In de firewall (niet de windowsfirewall) sta ik deze browser alleen toe te verbinden met mijn DNS servers en de IP range welke de bank gebruikt.
En na het doen van mijn bankzaken word de sandbox geleegd.
Host files aanpassen heeft dus geen zin, want de browser mag alleen naar de ip range van mijn bank en DNS.

28-02-2011, 13:15 door SirDice

Door Thasaidon:

Door SirDice:

Vergeet ook niet dat je router wellicht niet meer de correcte DNS servers gebruikt.

02-03-2011, 15:42 door adbc

Misschien toch effe terug naar Phone Banking ?

03-03-2011, 16:16 door [Account Verwijderd]

[Verwijderd]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer