image

Trojaan onderschept HTTPS-verbinding Nederlanders

zondag 3 juni 2012, 11:50 door Redactie, 13 reacties

Een Trojaans paard dat voornamelijk in Nederland actief is onderschept HTTPS-verbindingen om zo vertrouwelijke gegevens te kunnen stelen. De Tatanarg Trojan installeert een proxy in de browser van slachtoffers om versleutelde verbindingen, bijvoorbeeld naar webmail of banksite, te onderscheppen. Hiervoor gebruikt de malware een zelf gesigneerd certificaat.

Het Trojaanse paard richt zich specifiek op Firefox, Opera, Maxthon en Internet Explorer. Zodra de proxy operationeel is, kan de malware allerlei vertrouwelijke informatie onderscheppen. De aanpassingen aan het verkeer worden in real-time doorgevoerd en vallen volgens Symantec in de meeste gevallen niet op, afhankelijk van de gebruikte browser.

Welke browsers geen waarschuwing geven laat Symantec niet weten, maar Opera zou in ieder geval wel alarm slaan. Het is vervolgens aan de gebruiker om de verbinding wel of niet te accepteren.

Nederland
Tatanarg gebruikt twee manieren om zichzelf te verspreiden. De eerste methode is via de BlackHole exploit-kit, waarbij gebruikers door het bezoeken van een gehackte website met verouderde software besmet raken. De tweede manier is via een besmette bijlage.

Symantec meldt dat de malware al sinds begin 2011 bestaat en dat de recente golf van infecties en de levensduur van het Trojaanse paard aantonen dat het een lucratieve bezigheid voor de auteur is. De malware is in Scandinavië, Duitsland, Nederland en Italië gevonden, waarbij veruit de meeste infecties zich in Nederland bevinden.

Reacties (13)
03-06-2012, 11:54 door Anoniem
Het Trojaanse paard richt zich specifiek op Firefox, Opera, Maxthon en Internet Explorer.

Vreemd dat chrome hier niet tussen zit. Of komt dit door de sandbox?
03-06-2012, 12:55 door Anoniem
Welke AV of anti-spyware tools herkent deze trojan op dit moment?
03-06-2012, 16:00 door Anoniem
Ie geeft ook een waarschuwing
03-06-2012, 16:20 door Ignitem
Alleen Windows?
03-06-2012, 17:33 door nicolaasjan
Door Ignitem: Alleen Windows?
Zie:
http://www.symantec.com/security_response/writeup.jsp?docid=2012-051102-1813-99&tabid=2

Systems Affected:
Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
03-06-2012, 21:38 door Ignitem
Door nicolaasjan: Systems Affected: Windows 98, Windows 95, Windows XP, Windows Me, Windows Vista, Windows NT, Windows Server 2003, Windows 2000
Dank, ben gelukkig veilig
(voor deze dan)
03-06-2012, 23:57 door Spiff has left the building
Door Ignitem: ben gelukkig veilig
Dus zolang jij maar veilig bent is het geen probleem?
04-06-2012, 07:48 door Anoniem
Alleen Windows?
Het is altijd opvallend hoe weinig benoemd wordt op welk OS dat de malware actief, terwijl het een zeer kleine moeite is. Is dat omdat het eigenlijk altijd op Windows is en het geen zin heeft om dat te benoemen of vinden de diverse belanghebbenden dat de naam van Windows niet elke keer bezoedeld mag worden?
04-06-2012, 08:07 door [Account Verwijderd]
[Verwijderd]
04-06-2012, 10:00 door Anoniem
Door Spiff:
Door Ignitem: ben gelukkig veilig
Dus zolang jij maar veilig bent is het geen probleem?

Dat zegt hij toch niet. Zucht. Manman pak je altijd direct een ladder en klim je op de kast #sneu
04-06-2012, 11:42 door spatieman
terug naar windows 3.11 dan maar.
15-06-2012, 21:17 door Anoniem
ben helaas ook slachtoffer geworden bij de abn. schade ruim 3000 euro!!!!
slotje ed waren aanwezig.
abn site ....liep vast, identifier moest synchroniseren, en opnieuw werd er een respsonse code gevraagd, en weg geld.
1 keer je code invoeren en niet vaker. bij mij een virus op de pc die niet door ms essentiels (de virusscanner) is opgemerkt.
mensen kijk uit, en wees voorzichtig
04-09-2012, 00:56 door Anoniem
Hallo, Uhm mijn comp heb ook gekke kuren dat ie steeds aan geeft Certificaat fout, en word geblokkeerd en een rood balkje. Wat moet ik doen?? Help!! haha
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.