Malware die in staat is om geld van online bankrekeningen te stelen is niet alleen meer een dreiging voor Windowsgebruikers, aangezien nu ook Linuxgebruikers het doelwit zijn. Onderzoekers van beveiligingsbedrijf RSA ontdekten de 'Hand of Thief' Trojan. Een Trojaans paard dat ontwikkeld is om gegevens van Linuxsystemen te stelen.
De malware wordt door Russische cybercriminelen voor een bedrag van 1500 euro verkocht, inclusief updates en ondersteuning. Op dit moment kan de malware gegevens stelen die in invoervelden en formulieren worden ingevuld en fungeert daarnaast als backdoor. Volgens RSA is het de verwachting dat het Trojaanse paard op korte termijn over 'web injects' zal beschikken en zodoende een volwaardige banking Trojan zal worden.
Via web injects kan malware tijdens het inloggen op de banksite om extra informatie vragen, zoals een Pincode of een extra authenticatiecode. Volgens de ontwikkelaars van de malware is die op 15 verschillende Linuxdistributies getest, waaronder Ubuntu, Fedora en Debian. Daarnaast worden acht verschillende desktopomgevingen ondersteund, waaronder Gnome en Kde.
RSA wist de 'malware builder' in handen te krijgen, alsmede de broncode van de server waarmee de Hand of Thief communiceert. Uit een voorlopig onderzoek blijkt dat de malware over verschillende functionaliteiten beschikt die ook in banking Trojans aanwezig zijn.
Het gaat dan om 'form grabbers' voor zowel HTTP als HTTPS-sessies in verschillende browsers, waaronder Firefox, Google Chrome en verschillende Linuxbrowsers zoals Aurora. Net als de bekende Citadel banking Trojan beschikt de malware over een blocklist, die toegang tot bepaalde hosts voorkomt. Ook zijn er verschillende anti-onderzoekstools aanwezig, zoals anti-sandbox, anti-debugger en anti-VM functionaliteiten. De malware verzamelt gestolen gegevens en bewaart die in een MySQL database.
Onderzoekers van RSA merken op dat het ontwikkelen van malware voor Linux vanwege het kleine marktaandeel bijzonder is. Daarnaast zouden beveiligingslekken in Linux omdat het open source is eerder worden gepatcht. Ook zijn er geen exploit-kits die zich op Linux richten. In een gesprek met de malwaremaker kregen de onderzoekers het advies om het Trojaanse paard via social engineering en e-mail te verspreiden.
Deze posting is gelocked. Reageren is niet meer mogelijk.