image

64-bit Windows rootkit plundert bankrekeningen

vrijdag 20 mei 2011, 19:10 door Redactie, 7 reacties

Analisten hebben de eerste 64-bit Windows rootkit ontdekt, speciaal ontwikkeld voor het plunderen van online bankrekeningen. De malware werd tijdens een drive-by download ontdekt, die het werk van Braziliaanse cybercriminelen zou zijn. Het ging om een kwaadaardig Java applet dat op een populaire Braziliaanse website was geplaatst. Gebruikers met een oudere Java Runtime Environment (JRE) werden daardoor automatisch geïnfecteerd, zowel 32- als 64-bit systemen.

Onderzoekers van het Russische anti-virusbedrijf Kaspersky Lab troffen binnen de applet een aantal interessante bestanden aan. "Het gehele kwaadaardige plan is eenvoudig maar toch interessant", zegt Fabio Assolini. Een .reg bestand schakelt de UAC (User Access Control) uit en wijzigt het Windows Register door valse Certification Authorities (CAs) aan de besmette machine toe te voegen.

Certificaat
Een ander geïnstalleerd bestand doet dienst als een vals digitaal certificaat, dat door de valse CA gesigneerd is. Het voornaamste doel van de aanval is het doorsturen van de gebruiker naar een phishingsite. Die website verloopt via een HTTPS-verbinding en toont het 'gouden slotje', waardoor gebruikers kunnen denken dat ze op de echte banksite zitten.

De aanvallers gebruiken ook een door Microsoft ontwikkelde tool om de boot configuratie van Windows 7 en Vista aan te passen. Zo worden er drivers naar de driversmap gekopieerd en geregistreerd als actieve drivers voor bij de volgende herstart. Zodoende kunnen de criminelen hun driver zonder legitieme handtekening starten. Verder wijzigt de malware het HOSTS-bestand, om gebruikers naar de phishingsite door te sturen. Ook wordt een speciale security plugin die sommige Braziliaanse banken gebruiken verwijderd.

Reacties (7)
20-05-2011, 20:12 door [Account Verwijderd]
[Verwijderd]
21-05-2011, 09:37 door adbc
Bij google chrome, moet je altijd toestemming geven.
Hopelijk is dat genoeg.
21-05-2011, 12:41 door wizzkizz
Een slimme gebruiker werkt als standaard user en heeft een account die geen root-rechten kan krijgen. Als een programma dan toch root-rechten wil hebben, zul je eerst het wachtwoord van de beheerder moeten intypen. En dan maar hopen dat je dat niet klakkeloos doet ;)
21-05-2011, 16:19 door Sith Warrior
Iig zorgen dat je laatste versie hebt van JRE.
21-05-2011, 19:41 door Anoniem
Door wizzkizz: Een slimme gebruiker werkt als standaard user en heeft een account die geen root-rechten kan krijgen. Als een programma dan toch root-rechten wil hebben, zul je eerst het wachtwoord van de beheerder moeten intypen. En dan maar hopen dat je dat niet klakkeloos doet ;)

Privilege escalation bugs bestaan voor een reden .. beheerder passwoord komt er niet eens bij kijken....
22-05-2011, 10:39 door fluffyb53
Door wizzkizz: Een slimme gebruiker werkt als standaard user en heeft een account die geen root-rechten kan krijgen. Als een programma dan toch root-rechten wil hebben, zul je eerst het wachtwoord van de beheerder moeten intypen. En dan maar hopen dat je dat niet klakkeloos doet ;)

Klopt. Een standaard gebruiker zou de eerste gebruiker moeten zijn en de admin (met beperkte rechten) verborgen. Gebruikers worden echter door W7( en Vista vroeger) niet uitgenodigd om die standaard account aan te maken. Het wordt veronderstelt dat gebruikers die kennis hebben maar dit is helemaal zo niet. Ik hoop dat MS dit in W8 wijzigt. Overigens kunnen standaard users altijd besmet geraken omdat malware niet noodzakelijk admin rechten nodig heeft. Windows laat helaas binaries toe binnnen in het profiel van de gebruiker.
22-05-2011, 14:47 door Anoniem
wat zou het toch fijn zijn als mensen gewoon secunia PSI gebruikten..... scheelt echt een hoop van dit soort gezeik
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.