Een bende cybercriminelen bereidt een grootschalige aanval op 30 Amerikaanse banken voor, waarbij ze de hulp van 100 botnetbeheerders willen inschakelen. Op verschillende fora roept de bende op tot 'blitzkrieg-achtige' aanvallen door middel van Trojaanse paarden. Deze malware zou naar klanten worden gestuurd, waarbij de aanvallers vervolgens de rekeningen van de slachtoffers legen.

De Gozi Trojan, die vermoedelijk wordt ingezet, gebruikt een man-in-the-middle-aanval om frauduleuze transacties te verrichten. De reden dat de bende Amerikaanse banken wil aanvallen, ligt volgens beveiligingsbedrijf RSA in het feit dat veel Amerikaanse banken nog geen twee-factor authenticatie gebruiken. Iets wat bij de meeste Europese banken verplicht is.

Rekruten
De bende zoekt via een soort selectieprocedure specifieke botnetbeheerders, die een deel van de opbrengsten krijgen die van de rekeningen van slachtoffers worden gestolen. Daardoor wordt de botnetbeheerder een partner van de bende, aldus Mor Ahuvia van RSA. De botnetbeheerder zijn echter afhankelijk van de bende voor het ontvangen van de Gozi Trojan.

Tevens wordt er een virtual-machine-synchronisatie module op de machine van de botnetbeheerder geïnstalleerd, die de pc-instellingen van het slachtoffer dupliceert, waaronder tijdzone, schermresolutie, cookies, browsertype en versie en software ID's. Via een SOCKS-proxy maken de criminelen verbinding met de pc, waardoor het gekloonde virtuele systeem het IP-adres van het slachtoffer krijgt bij het inloggen op de banksite.

Aanval
Door middle van VoIP DoS-aanvallen wil de bende voorkomen dat het slachtoffer door de bank via telefoon of sms wordt ingelicht. Ahuvia noemt het plan opmerkelijk, omdat georganiseerde criminaliteit meestal binnen kleine kringen wordt opgezet. "Het is ongehoord voor een cyberbende om via het 'underweb' nieuw rekruten voor hun operatie te zoeken."

Zodra de bende voldoende botnetbeheerders heeft weten te verzamelen, wil het tijdens een vooraf geplande 'D-Day' de aanval uitvoeren en zoveel mogelijk gecompromitteerde rekeningen tegelijkertijd legen. "Als de plannen doorgaan, kan deze campagne de grootste gecoördineerde aanval tegen Amerikaanse banken tot nu toe worden."