Nieuws
image

Digitale bankrover fopt virtual machines

maandag 2 juli 2012, 13:57 door Redactie, 11 reacties

Een Trojaans paard dat ontwikkeld is om geld van bankrekeningen te stelen gebruikt een nieuwe truc om onderzoekers te misleiden. De Citadel banking Trojan controleert of het binnen een sandbox of virtual machine draait. Het doet dit door naar de namen van bepaalde actieve processen te kijken. Zodra het namen als vmware, sandbox en virtualbox tegenkomt, wordt het gedrag aangepast. VMware is software om een virtual machine te starten.

Misleiding
In tegenstelling tot andere Trojaanse paarden die virtual machines detecteren en vervolgens stoppen met werken, blijft Citadel gewoon functioneren. Het genereert vervolgens een unieke, niet bestaande domeinnaam en probeert hiermee verbinding te maken.

Aangezien dit niet lukt, zou de onderzoeker kunnen denken dat de Command & Control-server (C&C) die de besmette machines bestuurt offline is. Het echte adres van de C&C blijft echter verborgen. Onderzoekers van S21sec ontdekten als ze alle VMware processen afsloten, de malware weer normaal functioneerde.

Reacties (11)
02-07-2012, 15:05 door N4ppy
1-0
1-1
Of zitten we al op 234.67-256.7 ?
02-07-2012, 15:08 door Above
Volgens mij kunnen ze nu beter helemaal stoppen met deze manier van internetbankieren en gaan kijken naar een andere oplossing. Wordt steeds gekker dit.
02-07-2012, 15:17 door Anoniem
Internetbankieren is net als russisch roulette, meestal gaat het goed ;)
02-07-2012, 15:41 door Anoniem
Als je maar een goed betaalde antivirus/internet security hebt.
02-07-2012, 16:47 door Anoniem
Live CD'tje en alleen gebruiken om te bankieren. Knap virus wat daar iets aan doet, dan moet het al uit de BIOS komen of geinfecteerd raken tijdens het surfen naar een andere website. Vandaar alleen (of als eerste) naar de bank surfen.

Maar ik ben ook steeds minder blij met het telebankieren en de schade betalen we allemaal zelf.
02-07-2012, 16:47 door Anoniem
Door Anoniem: Internetbankieren is net als russisch roulette, meestal gaat het goed ;)
Verhouding is daarmee 1:6 of 1:10. Internet Bankieren is toch echt wel een stukje veiliger..... Bovendien ga je er niet dood aan en krijg je je centen terug.
02-07-2012, 19:02 door Anoniem
Door Anoniem: Als je maar een goed betaalde antivirus/internet security hebt.

Betaald is niet belangrijk, goed wel....
02-07-2012, 21:47 door Anoniem
Als je maar een goed betaalde antivirus/internet security hebt.

HAHA dat geloof je toch zeker zelf niet he. Ik zou me maar niet zo zeker wanen met je "goed betaalde antivirus" ; ik kan je uit de praktijk vertellen dat menig AV pakket regelmatig steken laat vallen. En dan heb ik het niet over de kleintjes. Juist de grote jongens scoren echt bedroefend.

Don't Bank with your daily surf/internet PC.
03-07-2012, 09:20 door Anoniem
Hebben ze bij S21sec geen centjes voor een IDA Pro licensie ?
Al dat passieve mee kijk geneuzel met zicht op een klein deel van het progje..


Ps.
Weer van die aapjes met 1 trucje en verder niets:
---
"S21sec 'Committed to security' "

Apache/2.2.14 (Ubuntu), www.s21sec.com/icons/
<meta name="title" content="No se encuentra la página" />
<meta name="author" content="Super Administrator" />
_gat._getTracker("UA-430553-1"
---
03-07-2012, 10:27 door Anoniem
Dan draai je het toch gewoon om: Internetbankieren vanuit een sandbox.
2 voordelen: in een besmette sandbox werkt de malware kennelijk niet, en in een schone sandbox kan malware vanaf het systeem niet binnendringen.
05-07-2012, 11:51 door Anoniem
Door Anoniem: Als je maar een goed betaalde antivirus/internet security hebt.

Nog belangrijker, zorg ervoor dat je applicaties up to date zijn!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search