Pas på: Listig NemID-trojaner stjæler også alle dine kodeord

Selvom du ikke har fået stjålet penge fra din bankkonto, så er det alligevel en god idé at tjekke, om din pc er inficeret. Og det er ikke kun Danske Bank-kunder, der er ramt.

Det var en usædvanligt udspekuleret trojansk bagdør, som blev brugt til at stjæle i alt 700.000 kroner fra otte kunder i Danske Bank tidligere på måneden. Det fortæller sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS, som har analyseret det ondsindede program.

»Vi har pillet koden fra hinanden stump for stump. De har gjort sig særlig umage for at ramme NemID og har lagt ekstra meget tid for at kunne lave det her realtids-phishing,« siger Peter Kruse til Version2.

Angrebet foregik ved, at brugerne først blev inficeret med en trojansk bagdør, som brugerne blev eksponeret for via 'en legitim kanal'.

Læs også: Nyt hacker-trick snød NemID: Sådan gjorde de

Peter Kruse vil på nuværende tidspunkt ikke specificere nærmere, hvilken legitim kanal der er tale om, men CSIS har tidligere oplyst, at angrebet skete via en legitim hjemmeside.

Der er altså ikke som i angrebet mod Nordea-kunder i august sidste år tale om et phishing-forsøg, hvor brugerne modtog en e-mail med et link til en falsk Nordea-side.

Læs også: NemID phishet – 8 bankkunder frastjålet penge i netbank

Udviklet fra bunden i stedet for et byggesæt

Peter Kruse oplyser, at trojaneren forsøgte at udnytte tre forskellige sårbarheder, alt efter hvilken browser, styresystem og hvilke plugins brugeren anvendte. Ved hjælp af sårbarhederne kunne den trojanske bagdør installeres, uden brugeren opdagede noget.

Læs også: Se om du har fået NemID-trojaneren: Usynlig for antivirus

Bagmændene havde også gjort sig ekstra anstrengelser for at ramme de danske bankkunder. De fleste trojanske bagdøre, som spredes på internettet, er varianter fabrikeret ved hjælp af et sæt standard-byggeklodser, hvor man med få klik kan lave sig en ny variant af en kendt trojaner. Men altså ikke denne her:

»De har udviklet koden fra bunden. De må mene, at det er en god nok investering,« siger Peter Kruse.

Samtidig er trojaneren, som CSIS har døbt Banktexeasy, udelukkende blevet distribueret til Danmark, og kunne dermed krybe under radaren for antivirussoftwaren, fordi bagmændene brugte helt ny programkode og servere, som ikke i forvejen var kendt af sikkerhedsfirmaerne.

Da først trojaneren lå på brugerens pc, så ventede programmet på, at brugeren loggede på med NemID, hvorefter bagmændene kunne opsnappe brugernavn og adgangskode. Mens brugeren var logget på, fik han vist et popup-vindue, hvor han blev bedt om at angive en ekstra NemID-nøgle.

I baggrunden havde bagmændene nemlig fra deres server forbundet til Danske Banks netbank, hvor de kunne logge på med det samme brugernavn og adgangskode. Da banken spurgte efter en NemID-nøgle, sendte bagmændene nøglenummeret videre til det popup-vindue, som dukkede op på brugerens pc.

Hvis brugeren indtastede den tilhørende nøgle fra sit papkort, blev det sendt videre til bagmændene, som kunne oplyse det til Danske Banks netbank og dermed fuldføre login'et.

Trojaner gjorde krumspring

Det var ingen nem opgave at analysere trojaneren, da CSIS først havde fået et eksemplar ind i laboratoriet, fordi programmet indeholdt en række krumspring, som var beregnet til at undgå debugging-værktøjer og virtuelle maskiner, som bruges til at analysere et ukendt programs opførsel.

Det vides endnu ikke, hvorvidt flere brugere end de otte Danske Bank-kunder, er blevet inficeret med Banktexeasy. Men der kan være mange flere, som har fået trojaneren, men hvor bagmændene ikke har haft mulighed for at udnytte bagdøren til at stjæle penge.

Peter Kruse oplyser også, at selvom angrebet ser ud til at være overstået i denne omgang, så er det en god idé at kontrollere, om man skulle være inficeret.

»Den høster også data fra pc'en. Så hvis man er inficeret, så bør man skifte brugernavn og adgangskode til de tjenester, man bruger,« siger Peter Kruse.

Der er dog ikke længere fare for, at trojaneren kan gøre mere skade på nuværende tidspunkt, fordi truslen ifølge CSIS er blevet afmonteret. Men der kan altså være sket skade, inden trojaneren blev opdaget og uskadeliggjort.

Kommentarer (19)

Jørgen Baltzer Thomsen

"Angrebet foregik ved, at brugerne først blev inficeret med en trojansk bagdør, som brugerne blev eksponeret for via 'en legitim kanal'."

Hvorfor kan vi ikke få oplyst navnet/www-adressen på denne legitime kanal?
Så ved man som bruger, hvorvidt man skal være ekstra påpasselig.

Når der advares mod skadelige fødevarer bliver forretningen altid nævnt med navn og beliggenhed så brugere kan reagere!

Michael Thomsen

Givetvist fordi kanalen er lukket, og der er ingen grund til at oplyse mere, det kan give folk en falsk tryghed, og et firma en unødig skidt omtale, vil jeg tro.


Der er bestemt grund til at oplyse mere. Hvis man har været inde på pågældende side i det pågældende tidsrum er der al mulig grund til at undersøge om ens computer er ramt.

Hvis jeg ikke havde været inde på det givne sted ville jeg ikke installere/køre 3.parts software som kan "detektere et angreb".

Det undrer såre hvorfor de gængse antivirus firmaer ikke er blevet informeret og har opdateret deres produkter.

Jørgen Baltzer Thomsen

@Jens
- Hvis kanalen er lukket (jeg antager det er en hjemmeside) er der vel ikke noget firma der kan lide unødig skade.
- hvis de ramte alle har besøgt pågældende hjemmeside, vil jeg mene at undladelse af at nævne navne er at skabe 'sand uvished'
- Såfremt der ikke er udnyttet 0-dags sikkerhedsbrist, er det vel rimeligt at virksomheden får trukket bukserne ned om knæerne og får offentlige svirp i måzen. Så kan de sparede penge på it-vedligehold bruges i marketingsafdelingen på at forbedre renommeet.

@Michael
- Spot on, med din pointe om 3-parts produkter eller 'skal vi lige scanne din computer for sikkerhedsbrister'

Kenn Nielsen

Peter Kruse oplyser, at trojaneren forsøgte at udnytte tre forskellige sårbarheder, alt efter hvilken browser, styresystem og hvilke plugins brugeren anvendte.

OS,Browser, - brugbar info , tak !

K

Thomas Hansen

Nu må de stoppe de svineri.
At holde det hemmeligt, hvordan man har fået en sådan virus, medfører at der er åbnet for yderligere sårbarhed. Uanset om "kanalen" er en lukket hjemmeside, eller om det kun er en mulighed på en hjemmeside der er fjernet.

Er der tale om at det har været f.eks. Youtube, så er ALLE der har været der muligvis inficeret. Det kan også være et af de store sociale netværk, eller bare et populært pornosite.

Det er en MEGET alvorlig sikkerhedssituation, som man ikke vil oplyse om !

Fordi man ikke vil fortælle hvor denne trussel kommer fra, så er der tale om, at alle skal formaterer deres system.

Hvad det vil koste af omkostning for samfundet, er jo helt ufatteligt.

Kan det være kommet ind på de PC'er der bruges til styring og regulering ?
Skal alle el-værker, varme-værker, osv. bare slukke deres industrisystem ?
Hvad med det system som automatisk måler mit strømforbrug ?
Hvad med forsvaret, regeringen, politi, osv ?

Det drejer sig om kodeord.
Når man ikke vil fortælle hvordan det er sket, så er der tale om ALLE kodeord og login, på ALT, for alle Danskere.

I realiteten, så er Danmark lagt ned, hvad angår IT-sikkerhed.
Der er INGEN der kan forholde sig til noget som helst, man anbefaler kun, at man formatterer sit system.
Man kan ikke engang give sikkerhed for, at man har fanget alle aspekter af denne trussel. Man kan ikke engang fjerne den.

CSIS - DanID/Netz, har oplysningen der kan afklare omfanget af problemet, men holder det hemmeligt.

Der kan kun være tale om, at man frygter, at alle Danskere er inficeret !

Hvem beskytter de ? Hvem tror de selv de er ?
Jeg læser:
Vi er ligeglade med alle Danskere, vi syntes det er vigtigt at vi beskytter en enkelt interesse, og vi har et skjult motiv for at beskytte denne interesse, og vi bestemmer selv hvem vi vil beskytte, uanset hvad omkostningen er for hele nationen.

Sune Foldager

Jeg læser:
Vi er ligeglade med alle Danskere, vi syntes det er vigtigt at vi beskytter en enkelt interesse, og vi har et skjult motiv for at beskytte denne interesse, og vi bestemmer selv hvem vi vil beskytte, uanset hvad omkostningen er for hele nationen.

Jeg læser til gengæld lidt dit indlæg som konspiratøs rambling; altså, alene:

Når man ikke vil fortælle hvordan det er sket, så er der tale om ALLE kodeord og login, på ALT, for alle Danskere.

Come on...

Jeg er ellers enig i at de bør frigive oplysningerne, men der kan være hensyn at tage til fx efterforskning.

Kenn Nielsen

Come on...

Man kan sløre naivitet eller inkompetance ved at råbe som "konspirationsteoretiker".

Mener du så også at man kan være 'lidt gravid' ?

Hvis den høster ALLE kodeord, og
- det er hemmeligt hvordan man har fået trojaneren
- den ikke kan detekteres ( andet end visuelt - HVIS man tør starte netbankproceduren)

Så kan alle kodeord være kompromitteret.

  • med mindre der er nogen funktioner med kodeord som du ved ikke er omfattet af "alle".

K

Thomas Jensen

CSIS - DanID/Netz, har oplysningen der kan afklare omfanget af problemet, men holder det hemmeligt.

Der kan kun være tale om, at man frygter, at alle Danskere er inficeret !

Yes ... Intet mindre!

Hvem beskytter de ? Hvem tror de selv de er ?

"CSIS er på vegne af Finansrådet og den finansielle sektor i Danmark i gang med at analysere den binære kode for at begrænse skader og elimere truslen."

http://www.csis.dk/da/csis/blog/3481/

Altså købt og betalt af danid's venner.

Henrik Madsen

Hvis de ikke gider fortælle noget så kan vi jo begynde at sprede rygter som så rammer nogen som måske ikke skulle rammes.

Jeg har hørt at virussen kom via banner reklamer på www.ekstrabladet.dk ligesom i 2007 hvor folk også blev inficeret via reklamer fra det websted.

Spread the word..

Henrik Madsen

Mikkel Hansen

Kender i ikke alle de små reklamer på sider som fx utube ? hvis du kigger efter kilden på billedet på et af disse links/reklamer så vil du finde ud af de ligger over alt på nettet , du bliver bare lige linket gennem google-Ad hvilke er noget svineri btw ..

For at din com kan vise billedet så må der allerede være data på din com til dette .. Så hvis google overser en af disse reklamer har en trojaner ja så deler google flittigt ud på alle sider der viser reklamen, og så er det jo ikke målrettet og hvad nytter det så at fortælle folk ?

Jeg kæmper selv en hård kamp med google idet jeg vil have min router til at spære ALLE reklamer da de kører over deres egen adresse skulle det være muligt men google har lavet et nyere system jeg ikke få bugt med pt. pt blokerer den kun 10~% ;-/ .. Du kan gemme meget lort i et billede et helt alm gif billede der ikke ser ud til at fejle noget kan være skadeligt..

File extension !! Det er godt at have slået til da man så ikke burde falde for falske programmer og lign.

Og hvis du er hardcore så kan man bruge en "sniffer" til at tjekke sine porte, men det kræver en del viden og test af et rent system :-/ ..
Men gør/kan man bruge en "sniffer" så skulle du kunne beskytte dig idet LANGT fra de fleste har et sådanne program og hackerne derfor jo ikke behøver at tage højde fra et sådanne program i deres scripts ,. Og selvom de tager højde for det ved jeg faktisk ikke hvordan de skal snyde snifferen da den bare tjekker trafik og mængder af trafik på de forskellige porte .

Lav ikke noget på nettet du ikke har råd til at miste ..

Som privat bank kunde bliver alt tyveri fra din konto dækket, så alt du kan miste er din tid/nerver !

Jesper Poulsen

Kender i ikke alle de små reklamer på sider som fx utube ?

Nej.

Skift til en browser der kan udbygges med addons og få nogle der kan bremse uhæmmet afvikling af scripts.

Mht. sikkerhed overfor netbank, så er virtualisering vejen frem. Lav en virtuel maskine (VirtualBox kan anbefales, da den er crossplatform) og lad al adgang til netbank gå denne vej. Java er væk fra dagligdagen og DanID har ikke fri adgang til dine data.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen

TDC skifter koncernchef efter faldende mobilomsætning

Jesper Stein Sandal Mobil og tele 14. aug 2015

Nyeste job

KurserStyrk dine evner med et kursus

Færdighedskursus: Indeklima efter DS 3033

Hvornår: 2015-09-28 Hvor: Fyn Pris: kr. 25000.00

Avanceret C#

Hvornår: 2015-10-26 Hvor: Østjylland Pris: kr. 12600.00

Diplomuddannelse i ældrearbejde

Hvornår: Hvor: Efter aftale Pris: kr. Efter aftale

Informationsarkitektur: Struktur på nettet

Hvornår: 2015-09-24 Hvor: Storkøbenhavn Pris: kr. 7300.00

Project 2013 Grundlæggende

Hvornår: 2015-09-10 Hvor: Østjylland Pris: kr. 5900.00