Analisten hebben de eerste 64-bit Windows rootkit ontdekt, speciaal ontwikkeld voor het plunderen van online bankrekeningen. De malware werd tijdens een drive-by download ontdekt, die het werk van Braziliaanse cybercriminelen zou zijn. Het ging om een kwaadaardig Java applet dat op een populaire Braziliaanse website was geplaatst. Gebruikers met een oudere Java Runtime Environment (JRE) werden daardoor automatisch geïnfecteerd, zowel 32- als 64-bit systemen.
Onderzoekers van het Russische anti-virusbedrijf Kaspersky Lab troffen binnen de applet een aantal interessante bestanden aan. "Het gehele kwaadaardige plan is eenvoudig maar toch interessant", zegt Fabio Assolini. Een .reg bestand schakelt de UAC (User Access Control) uit en wijzigt het Windows Register door valse Certification Authorities (CAs) aan de besmette machine toe te voegen.
Certificaat
Een ander geïnstalleerd bestand doet dienst als een vals digitaal certificaat, dat door de valse CA gesigneerd is. Het voornaamste doel van de aanval is het doorsturen van de gebruiker naar een phishingsite. Die website verloopt via een HTTPS-verbinding en toont het 'gouden slotje', waardoor gebruikers kunnen denken dat ze op de echte banksite zitten.
De aanvallers gebruiken ook een door Microsoft ontwikkelde tool om de boot configuratie van Windows 7 en Vista aan te passen. Zo worden er drivers naar de driversmap gekopieerd en geregistreerd als actieve drivers voor bij de volgende herstart. Zodoende kunnen de criminelen hun driver zonder legitieme handtekening starten. Verder wijzigt de malware het HOSTS-bestand, om gebruikers naar de phishingsite door te sturen. Ook wordt een speciale security plugin die sommige Braziliaanse banken gebruiken verwijderd.
Deze posting is gelocked. Reageren is niet meer mogelijk.