Dansk netbank-trojaner bruger man-in-the-middle-angreb

Danmark har været det primære mål for den trojanske bagdør, som de sidste uger har ramt et større antal danske netbankbrugere. Selvom trojaneren er fundet på pc'er i andre lande, så er Danmark klart det land, der er hårdest ramt. Det oplyser sikkerhedsfirmaet Symantecs Security Response i en e-mail til Version2.dk.

Symantec oplyser ligeledes, at trojaneren kan downloade og installere en komponent, der gør det muligt for de kriminelle bagmænd at overtage kontrollen med en netbanksession, uden brugeren opdager det.

Symantec har navngivet trojaneren 'Bankpatch' og beskriver, hvordan programmet overvåger Windows for at opdage, når brugeren logger på sin netbank.

Bankpatch inficerer tre vigtige Windows-filer: Powerprf.dll, kernel32.dll og wininet.dll.

Powerprf.dll bruges af Windows til styring af strømforbruget og bliver blandt andet også brugt, når Windows lukkes ned. Ved at inficere denne fil kan Bankpatch holde øje med, om brugeren har forsøgt at fjerne programmet, inden systemet lukkes ned.

Bankpatch inficerer kernel32.dll for at holde øje med oprettelsen af filer i Internet Explorer, som har relation til en række internetbanker. Det gælder især oplysninger, som gemmes af Java eller ActiveX-komponenter fra visse netbanker, oplyser Symantec.

Ved at inficere wininet.dll kan Bankpatch holde øje med, hvornår brugeren forsøger at oprette en HTTPS-forbindelse til sin netbank. Da filen samtidig bliver brugt af Windows til alle internetforbindelser, kan trojaneren på denne måde også blokere for, at brugeren kan besøge flere sikkerhedsfirmaers websteder.

Wininet.dll bliver også brugt af Bankpatch til at kopiere information fra vinduer i Java og ActiveX-komponenter, så trojaneren kan indsamle oplysninger om brugerens bankkonto.

Selve angrebet kan udføres ved hjælp af et såkaldt Browser Helper Object, BHO, som Bankpatch kan downloade. Ifølge Symantec er der blandt andet tale om et BHO kendt som Infostealer.Nadebanker.

Nadebanker kan bruges til såkaldt man-in-the-middle-angreb. Det betyder, at når en bruger logger på sin netbank, bliver informationen sendt gennem en server, som styres af de kriminelle. For brugeren vil alt se normalt ud, men i baggrunden kan de kriminelle overføre penge fra brugeren konti ved at ændre på den information, som bliver sendt til banken.

Denne type angreb er særlig problematisk, fordi den kan bruges til at angribe netbanker, som benytter to-faktor-autentificering som eksempelvis engangskoder.

Ifølge Symantec er Bankpatch dog lige nu handikappet. Trojaneren indeholder fastindkodede adresser på servere, som den kan hente opdateringer fra, ligesom den også indeholder en algoritme, som kan generere nye domænenavne løbende. Ifølge Symantec er de fleste af disse servere imidlertid ikke tilgængelige for trojaneren i øjeblikket.