image

Internetbankieren op Linux doelwit nieuwe malware

donderdag 8 augustus 2013, 09:55 door Redactie, 18 reacties

Malware die in staat is om geld van online bankrekeningen te stelen is niet alleen meer een dreiging voor Windowsgebruikers, aangezien nu ook Linuxgebruikers het doelwit zijn. Onderzoekers van beveiligingsbedrijf RSA ontdekten de 'Hand of Thief' Trojan. Een Trojaans paard dat ontwikkeld is om gegevens van Linuxsystemen te stelen.

De malware wordt door Russische cybercriminelen voor een bedrag van 1500 euro verkocht, inclusief updates en ondersteuning. Op dit moment kan de malware gegevens stelen die in invoervelden en formulieren worden ingevuld en fungeert daarnaast als backdoor. Volgens RSA is het de verwachting dat het Trojaanse paard op korte termijn over 'web injects' zal beschikken en zodoende een volwaardige banking Trojan zal worden.

Datadiefstal

Via web injects kan malware tijdens het inloggen op de banksite om extra informatie vragen, zoals een Pincode of een extra authenticatiecode. Volgens de ontwikkelaars van de malware is die op 15 verschillende Linuxdistributies getest, waaronder Ubuntu, Fedora en Debian. Daarnaast worden acht verschillende desktopomgevingen ondersteund, waaronder Gnome en Kde.

RSA wist de 'malware builder' in handen te krijgen, alsmede de broncode van de server waarmee de Hand of Thief communiceert. Uit een voorlopig onderzoek blijkt dat de malware over verschillende functionaliteiten beschikt die ook in banking Trojans aanwezig zijn.

Features

Het gaat dan om 'form grabbers' voor zowel HTTP als HTTPS-sessies in verschillende browsers, waaronder Firefox, Google Chrome en verschillende Linuxbrowsers zoals Aurora. Net als de bekende Citadel banking Trojan beschikt de malware over een blocklist, die toegang tot bepaalde hosts voorkomt. Ook zijn er verschillende anti-onderzoekstools aanwezig, zoals anti-sandbox, anti-debugger en anti-VM functionaliteiten. De malware verzamelt gestolen gegevens en bewaart die in een MySQL database.

Onderzoekers van RSA merken op dat het ontwikkelen van malware voor Linux vanwege het kleine marktaandeel bijzonder is. Daarnaast zouden beveiligingslekken in Linux omdat het open source is eerder worden gepatcht. Ook zijn er geen exploit-kits die zich op Linux richten. In een gesprek met de malwaremaker kregen de onderzoekers het advies om het Trojaanse paard via social engineering en e-mail te verspreiden.

Reacties (18)
08-08-2013, 10:23 door MI-10 - Bijgewerkt: 08-08-2013, 10:39
In een gesprek met de malwaremaker kregen de onderzoekers het advies om het Trojaanse paard via social engineering en e-mail te verspreiden.
Grappig. Ik gebruik alleen geen e-mail in combinatie met Linux, en in Social Engineering strap ik al helemaal niet in.
Blijft over een drive-by natuurlijk.

The Trojan’s developer claims it has been tested on 15 different Linux desktop distributions, including Ubuntu Fedora and Debian. As for desktop environments, the malware supports 8 different environments, including Gnome and Kde.
Ook grappig, maar welke distributies precies bedoelt men hier? Alleen maar komen zeggen dat er 15 zijn, daar hebben we niets aan.
08-08-2013, 11:25 door Anoniem
Graag ook informatie voor het detecteren.... Als ik FUD wil lezen kijk ik wel ergens anders...
08-08-2013, 11:26 door Anoniem
Ik maak zelf al jaren gebruik van Linux ,en dat systeem/distributie Debian staat bij mij op nummer 1.
Maar ik weet ook dat als je Linux niet up to date houdt , dat het systeem dan zeer zeker kwetsbaar is voor virussen enz.
08-08-2013, 11:27 door choi
[Verwijderd]
08-08-2013, 11:57 door Mysterio
Social Engineering suggereert dat er iets van een sociaal aspect in zit. Dat zou er zomaar voor kunnen zorgen dat een aantal computeraars toch 100% veilig zit.
08-08-2013, 12:19 door MI-10 - Bijgewerkt: 08-08-2013, 12:28
Grappig. Dit is nou net een reactie die ik verwacht van een bepaald slag linux-gebruiker die zich superieur waant aan de rest van de sukkels die e-mail gebruiken onder Linux (ja, hoe dom kan je zijn???) en trappen in social engineering scams. En dat zeg ik als Linux-gebruiker.

Lees, voordat je dergelijke commentaren ophoest, eerst even de huisregels van dit forum door, en verdenk iemand niet zomaar zonder reden van het kwade als dat helemaal niet aanwezig is.
08-08-2013, 12:28 door Anoniem
Dit bewijst het: 2013 is het jaar van Linux op de desktop. ;-)
08-08-2013, 12:51 door Anoniem
Door MI-10: Ook grappig, maar welke distributies precies bedoelt men hier? Alleen maar komen zeggen dat er 15 zijn, daar hebben we niets aan.

Je hebt groot gelijk. Dit soort berichten zie ik hier steeds vaker langs komen. Bangmakerij voor malware zonder er duidelijk bij te vertellen op welke systemen/configuraties het van toepassing is. Zonder duidelijke feiten te vermelden waar je iets aan hebt is het plaatsen van een dergelijk bericht zinloos.
08-08-2013, 13:33 door Mysterio
Door Anoniem:
Door MI-10: Ook grappig, maar welke distributies precies bedoelt men hier? Alleen maar komen zeggen dat er 15 zijn, daar hebben we niets aan.

Je hebt groot gelijk. Dit soort berichten zie ik hier steeds vaker langs komen. Bangmakerij voor malware zonder er duidelijk bij te vertellen op welke systemen/configuraties het van toepassing is. Zonder duidelijke feiten te vermelden waar je iets aan hebt is het plaatsen van een dergelijk bericht zinloos.
Ik citeer: "The Trojan’s developer claims it has been tested on 15 different Linux desktop distributions, including Ubuntu Fedora and Debian. As for desktop environments, the malware supports 8 different environments, including Gnome and Kde."

Ik denk dat ze de top 3 toch wel te pakken hebben.
08-08-2013, 13:46 door Anoniem
In Windows heb ik hiertegen HitmanPro.Alert in de browser toegevoegd.
Maar ik werk eigenlijk altijd in Linux vanwege o.a. dit soort mallware als Zeus, die voor zover mij bekend hiervoor niet bestond in Linux.
Wordt het dan misschien tijd om ook iets soortgelijks voor Linux te gaan maken, of is dat allemaal wat te voorbarig.
En vallen die gevaren wel mee?
08-08-2013, 14:56 door Anoniem
Kiezen tussen 3 kwaden......

Kan ik niet tussen kiezen...:)
08-08-2013, 15:05 door Anoniem
- Banking user maken.
- Read write en execute blokken van de user vanuit andere users.
- browser alles laten deleten na de sessie.
- abp en noscript met alleen je bank sessie doorlaten voor JAVA(SCRIPT)
- cleanup laten lopen na het einde van de sessie.
- clamav
- voor de paranoide, apparmor...:)

success met het je email oof driveby
08-08-2013, 15:27 door Anoniem
Door Anoniem:
Door MI-10: Ook grappig, maar welke distributies precies bedoelt men hier? Alleen maar komen zeggen dat er 15 zijn, daar hebben we niets aan.

Je hebt groot gelijk. Dit soort berichten zie ik hier steeds vaker langs komen. Bangmakerij voor malware zonder er duidelijk bij te vertellen op welke systemen/configuraties het van toepassing is. Zonder duidelijke feiten te vermelden waar je iets aan hebt is het plaatsen van een dergelijk bericht zinloos.
Bangmakerij door de maker van de malware, heb je door dat die degene is die deze woorden heeft gebruikt? Degenen die erover berichten hebben het over wat de maker claimt.

Ik denk trouwens dat de duidelijkheid die je vraagt moeilijk te geven is. Een Linux-distributie is een verzameling software waarvan elke gebruiker een andere deelverzameling geïnstalleerd heeft. Om iets extra's te downloaden zal bijvoorbeeld wget of curl gebruikt kunnen worden, of wellicht wat anders. De afhankelijkheid die men op heeft te lossen is dan niet zozeer op welke distro men zit, maar welk van die commando's beschikbaar is. Moet er iets automatisch opgestart worden? Dat kan afhangen van welke desktopomgeving of windowmanager de gebruiker gebruikt, niet van onder welke distro men die gebruikt. Moet er iets aan de browser toegevoegd worden? Met de plugin-architecturen van Mozilla en Chrome heb je heel wat gedekt, inclusief afgeleide browsers, als ik me niet vergis. En dat gaat niet over onder welke distro of welke desktopomgeving de browser wordt gebruikt.

Vergelijk dat met hoe in JavaScript in de tijd van IE4 en Netscape4 scripts vol stonden met uitvragingen van browsers en hun versies, en met elke nieuwe versie groeide de lijst waar rekening mee gehouden moest worden. Ik herinner me dat stevige lappen code aan dat soort uitvragingen gewijd waren. Op een gegeven moment bleek het veel eenvoudiger en betrouwbaarder te zijn om uit te vragen of wat men wilde doen wel of niet beschikbaar was. Als je een functie uit wilt voeren, zeg window.getSelection(), dan vraag je eerst even of window.getSelection wel bestaat in deze browser, en anders kijk je of een alternatieve methode wel beschikbaar is.

Ik vermoed dat iets vergelijkbaars voor Linux zal gelden, je kijkt niet naar wat voor distro het is, maar of een bepaald commando of een bepaald mechanisme om iets op te starten of toe te voegen beschikbaar is. Het wordt dan vrij zinloos om te claimen welke distro's wel of niet kwetsbaar zijn, dat is domweg geen betekenisvolle manier om ernaar te kijken.
08-08-2013, 20:18 door Anoniem
Ik gebruik klik to play in chrome met Linux Mint. Ook Icedtea verwijderd. Hoe reageert het virus daarop?
08-08-2013, 21:43 door Anoniem
Door Anoniem:
- Banking user maken.
- Read write en execute blokken van de user vanuit andere users.
- browser alles laten deleten na de sessie.
- abp en noscript met alleen je bank sessie doorlaten voor JAVA(SCRIPT)
- cleanup laten lopen na het einde van de sessie.
- clamav
- voor de paranoide, apparmor...:)

success met het je email oof driveby

@Anoniem. Ik ben recent overgestapt van Windows naar Linux. Kun je voor een Linux-novice misschien uitgebreider uitleggen, welke stappen ik nu precies moet zetten (die jij in jouw reactie opsomt), om internetbankieren via Linux Mint veiliger te maken.
08-08-2013, 22:54 door g169578
Op deze link staan veel goede tips over Linux :
https://sites.google.com/site/computertip/

- Banking user maken.
- Read write en execute blokken van de user vanuit andere users.
- browser alles laten deleten na de sessie.
- abp en noscript met alleen je bank sessie doorlaten voor JAVA(SCRIPT)
- cleanup laten lopen na het einde van de sessie.
- clamav
- voor de paranoide, apparmor...:)

success met het je email oof driveby[/quote]
@Anoniem. Ik ben recent overgestapt van Windows naar Linux. Kun je voor een Linux-novice misschien uitgebreider uitleggen, welke stappen ik nu precies moet zetten (die jij in jouw reactie opsomt), om internetbankieren via Linux Mint veiliger te maken.[/quote]
09-08-2013, 09:28 door Anoniem
Volgens mij is er nog geen enkel stukje malware dat zich op Linux zelfstandig kan installeren zonder gebruikersinterventie, zoals onder Windows wel het geval is. Nu zal dat vast een keer gebeuren maar zolang de gebruiker scherp blijft en zich beseft dat zijn bank nooit om wachtwoorden en telefoonnummers zal vragen, kan malware weinig schade aanrichten.
Als gebruiker zijnde moet je alert zijn wanneer een website je ineens verzoekt om het root wachtwoord in te geven zodat de website het één en ander kan installeren.
Mijns inziens is de enige veilige manier om te kunnen internet bankieren om dit vanaf een Linux versie te doen die je vanaf een CD/DVD opstart. Dat is een readonly medium en daar kan niets op worden geïnstalleerd. Ik vraag me alleen wel af of dit mogelijk wel via het geheugen kan werken.
09-08-2013, 10:02 door choi - Bijgewerkt: 09-08-2013, 10:05
Doet Security.nl nu ineens aan censuur na jaren van alles te hebben toegelaten op het forum? In ieder geval heb ik mijn eigen bericht van eerder niet zelf verwijderd. Het zou de redactie ook sieren als ze de reden van de verwijdering aangeven.

Ah, ik snap het, een een zeker forumlid die mij verdenkt van 'het kwade' zal wel gejankt hebben
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.