Een Trojaans paard dat voornamelijk in Nederland actief is onderschept HTTPS-verbindingen om zo vertrouwelijke gegevens te kunnen stelen. De Tatanarg Trojan installeert een proxy in de browser van slachtoffers om versleutelde verbindingen, bijvoorbeeld naar webmail of banksite, te onderscheppen. Hiervoor gebruikt de malware een zelf gesigneerd certificaat.
Het Trojaanse paard richt zich specifiek op Firefox, Opera, Maxthon en Internet Explorer. Zodra de proxy operationeel is, kan de malware allerlei vertrouwelijke informatie onderscheppen. De aanpassingen aan het verkeer worden in real-time doorgevoerd en vallen volgens Symantec in de meeste gevallen niet op, afhankelijk van de gebruikte browser.
Welke browsers geen waarschuwing geven laat Symantec niet weten, maar Opera zou in ieder geval wel alarm slaan. Het is vervolgens aan de gebruiker om de verbinding wel of niet te accepteren.
Nederland
Tatanarg gebruikt twee manieren om zichzelf te verspreiden. De eerste methode is via de BlackHole exploit-kit, waarbij gebruikers door het bezoeken van een gehackte website met verouderde software besmet raken. De tweede manier is via een besmette bijlage.
Symantec meldt dat de malware al sinds begin 2011 bestaat en dat de recente golf van infecties en de levensduur van het Trojaanse paard aantonen dat het een lucratieve bezigheid voor de auteur is. De malware is in Scandinavië, Duitsland, Nederland en Italië gevonden, waarbij veruit de meeste infecties zich in Nederland bevinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.