Pas på: Listig NemID-trojaner stjæler også alle dine kodeord
Det var en usædvanligt udspekuleret trojansk bagdør, som blev brugt til at stjæle i alt 700.000 kroner fra otte kunder i Danske Bank tidligere på måneden. Det fortæller sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS, som har analyseret det ondsindede program.
»Vi har pillet koden fra hinanden stump for stump. De har gjort sig særlig umage for at ramme NemID og har lagt ekstra meget tid for at kunne lave det her realtids-phishing,« siger Peter Kruse til Version2.
Angrebet foregik ved, at brugerne først blev inficeret med en trojansk bagdør, som brugerne blev eksponeret for via 'en legitim kanal'.
Peter Kruse vil på nuværende tidspunkt ikke specificere nærmere, hvilken legitim kanal der er tale om, men CSIS har tidligere oplyst, at angrebet skete via en legitim hjemmeside.
Der er altså ikke som i angrebet mod Nordea-kunder i august sidste år tale om et phishing-forsøg, hvor brugerne modtog en e-mail med et link til en falsk Nordea-side.
Udviklet fra bunden i stedet for et byggesæt
Peter Kruse oplyser, at trojaneren forsøgte at udnytte tre forskellige sårbarheder, alt efter hvilken browser, styresystem og hvilke plugins brugeren anvendte. Ved hjælp af sårbarhederne kunne den trojanske bagdør installeres, uden brugeren opdagede noget.
Bagmændene havde også gjort sig ekstra anstrengelser for at ramme de danske bankkunder. De fleste trojanske bagdøre, som spredes på internettet, er varianter fabrikeret ved hjælp af et sæt standard-byggeklodser, hvor man med få klik kan lave sig en ny variant af en kendt trojaner. Men altså ikke denne her:
»De har udviklet koden fra bunden. De må mene, at det er en god nok investering,« siger Peter Kruse.
Samtidig er trojaneren, som CSIS har døbt Banktexeasy, udelukkende blevet distribueret til Danmark, og kunne dermed krybe under radaren for antivirussoftwaren, fordi bagmændene brugte helt ny programkode og servere, som ikke i forvejen var kendt af sikkerhedsfirmaerne.
Da først trojaneren lå på brugerens pc, så ventede programmet på, at brugeren loggede på med NemID, hvorefter bagmændene kunne opsnappe brugernavn og adgangskode. Mens brugeren var logget på, fik han vist et popup-vindue, hvor han blev bedt om at angive en ekstra NemID-nøgle.
I baggrunden havde bagmændene nemlig fra deres server forbundet til Danske Banks netbank, hvor de kunne logge på med det samme brugernavn og adgangskode. Da banken spurgte efter en NemID-nøgle, sendte bagmændene nøglenummeret videre til det popup-vindue, som dukkede op på brugerens pc.
Hvis brugeren indtastede den tilhørende nøgle fra sit papkort, blev det sendt videre til bagmændene, som kunne oplyse det til Danske Banks netbank og dermed fuldføre login'et.
Trojaner gjorde krumspring
Det var ingen nem opgave at analysere trojaneren, da CSIS først havde fået et eksemplar ind i laboratoriet, fordi programmet indeholdt en række krumspring, som var beregnet til at undgå debugging-værktøjer og virtuelle maskiner, som bruges til at analysere et ukendt programs opførsel.
Det vides endnu ikke, hvorvidt flere brugere end de otte Danske Bank-kunder, er blevet inficeret med Banktexeasy. Men der kan være mange flere, som har fået trojaneren, men hvor bagmændene ikke har haft mulighed for at udnytte bagdøren til at stjæle penge.
Peter Kruse oplyser også, at selvom angrebet ser ud til at være overstået i denne omgang, så er det en god idé at kontrollere, om man skulle være inficeret.
»Den høster også data fra pc'en. Så hvis man er inficeret, så bør man skifte brugernavn og adgangskode til de tjenester, man bruger,« siger Peter Kruse.
Der er dog ikke længere fare for, at trojaneren kan gøre mere skade på nuværende tidspunkt, fordi truslen ifølge CSIS er blevet afmonteret. Men der kan altså være sket skade, inden trojaneren blev opdaget og uskadeliggjort.
Kommentarer (17)
"Angrebet foregik ved, at brugerne først blev inficeret med en trojansk bagdør, som brugerne blev eksponeret for via 'en legitim kanal'."
Hvorfor kan vi ikke få oplyst navnet/www-adressen på denne legitime kanal?
Så ved man som bruger, hvorvidt man skal være ekstra påpasselig.
Når der advares mod skadelige fødevarer bliver forretningen altid nævnt med navn og beliggenhed så brugere kan reagere!
-
11 -
2
Givetvist fordi kanalen er lukket, og der er ingen grund til at oplyse mere, det kan give folk en falsk tryghed, og et firma en unødig skidt omtale, vil jeg tro.
-
3
-
6
Givetvist fordi kanalen er lukket, og der er ingen grund til at oplyse mere, det kan give folk en falsk tryghed, og et firma en unødig skidt omtale, vil jeg tro.
Der er bestemt grund til at oplyse mere. Hvis man har været inde på pågældende side i det pågældende tidsrum er der al mulig grund til at undersøge om ens computer er ramt.
Hvis jeg ikke havde været inde på det givne sted ville jeg ikke installere/køre 3.parts software som kan "detektere et angreb".
Det undrer såre hvorfor de gængse antivirus firmaer ikke er blevet informeret og har opdateret deres produkter.
-
8
-
0
@Jens
- Hvis kanalen er lukket (jeg antager det er en hjemmeside) er der vel ikke noget firma der kan lide unødig skade.
- hvis de ramte alle har besøgt pågældende hjemmeside, vil jeg mene at undladelse af at nævne navne er at skabe 'sand uvished'
- Såfremt der ikke er udnyttet 0-dags sikkerhedsbrist, er det vel rimeligt at virksomheden får trukket bukserne ned om knæerne og får offentlige svirp i måzen. Så kan de sparede penge på it-vedligehold bruges i marketingsafdelingen på at forbedre renommeet.
@Michael
- Spot on, med din pointe om 3-parts produkter eller 'skal vi lige scanne din computer for sikkerhedsbrister'
-
6
-
0
Peter Kruse oplyser, at trojaneren forsøgte at udnytte tre forskellige sårbarheder, alt efter hvilken browser, styresystem og hvilke plugins brugeren anvendte.
OS,Browser, - brugbar info , tak !
K
-
5
-
1
Nu må de stoppe de svineri.
At holde det hemmeligt, hvordan man har fået en sådan virus, medfører at der er åbnet for yderligere sårbarhed. Uanset om "kanalen" er en lukket hjemmeside, eller om det kun er en mulighed på en hjemmeside der er fjernet.
Er der tale om at det har været f.eks. Youtube, så er ALLE der har været der muligvis inficeret. Det kan også være et af de store sociale netværk, eller bare et populært pornosite.
Det er en MEGET alvorlig sikkerhedssituation, som man ikke vil oplyse om !
Fordi man ikke vil fortælle hvor denne trussel kommer fra, så er der tale om, at alle skal formaterer deres system.
Hvad det vil koste af omkostning for samfundet, er jo helt ufatteligt.
Kan det være kommet ind på de PC'er der bruges til styring og regulering ?
Skal alle el-værker, varme-værker, osv. bare slukke deres industrisystem ?
Hvad med det system som automatisk måler mit strømforbrug ?
Hvad med forsvaret, regeringen, politi, osv ?
Det drejer sig om kodeord.
Når man ikke vil fortælle hvordan det er sket, så er der tale om ALLE kodeord og login, på ALT, for alle Danskere.
I realiteten, så er Danmark lagt ned, hvad angår IT-sikkerhed.
Der er INGEN der kan forholde sig til noget som helst, man anbefaler kun, at man formatterer sit system.
Man kan ikke engang give sikkerhed for, at man har fanget alle aspekter af denne trussel. Man kan ikke engang fjerne den.
CSIS - DanID/Netz, har oplysningen der kan afklare omfanget af problemet, men holder det hemmeligt.
Der kan kun være tale om, at man frygter, at alle Danskere er inficeret !
Hvem beskytter de ? Hvem tror de selv de er ?
Jeg læser:
Vi er ligeglade med alle Danskere, vi syntes det er vigtigt at vi beskytter en enkelt interesse, og vi har et skjult motiv for at beskytte denne interesse, og vi bestemmer selv hvem vi vil beskytte, uanset hvad omkostningen er for hele nationen.
-
6
-
1
Jeg læser: Vi er ligeglade med alle Danskere, vi syntes det er vigtigt at vi beskytter en enkelt interesse, og vi har et skjult motiv for at beskytte denne interesse, og vi bestemmer selv hvem vi vil beskytte, uanset hvad omkostningen er for hele nationen.
Jeg læser til gengæld lidt dit indlæg som konspiratøs rambling; altså, alene:
Når man ikke vil fortælle hvordan det er sket, så er der tale om ALLE kodeord og login, på ALT, for alle Danskere.
Come on...
Jeg er ellers enig i at de bør frigive oplysningerne, men der kan være hensyn at tage til fx efterforskning.
-
1
-
1
Come on...
Man kan sløre naivitet eller inkompetance ved at råbe som "konspirationsteoretiker".
Mener du så også at man kan være 'lidt gravid' ?
Hvis den høster ALLE kodeord, og
- det er hemmeligt hvordan man har fået trojaneren
- den ikke kan detekteres ( andet end visuelt - HVIS man tør starte netbankproceduren)
Så kan alle kodeord være kompromitteret.
- med mindre der er nogen funktioner med kodeord som du ved ikke er omfattet af "alle".
K
-
5
-
0
CSIS - DanID/Netz, har oplysningen der kan afklare omfanget af problemet, men holder det hemmeligt. Der kan kun være tale om, at man frygter, at alle Danskere er inficeret !
Yes ... Intet mindre!
Hvem beskytter de ? Hvem tror de selv de er ?
"CSIS er på vegne af Finansrådet og den finansielle sektor i Danmark i gang med at analysere den binære kode for at begrænse skader og elimere truslen."
http://www.csis.dk/da/csis/blog/3481/
Altså købt og betalt af danid's venner.
-
1
-
1
Hvis de ikke gider fortælle noget så kan vi jo begynde at sprede rygter som så rammer nogen som måske ikke skulle rammes.
Jeg har hørt at virussen kom via banner reklamer på www.ekstrabladet.dk ligesom i 2007 hvor folk også blev inficeret via reklamer fra det websted.
Spread the word..
Henrik Madsen
-
1
-
0
I lyset af det så er det skræmmende at se at Lars Frelle-Petersens landsskadelige projekter får denne anprisning:
http://www.business.dk/digital/goer-klar-til-ny-digital-postkasse
Det kan kun gå helt, helt galt, og det bliver dyrt, meget dyrt.
-
3
-
0
Danskebank har et værktøj til at detektere trojanen...
https://www.danskebank.dk/da-dk/Privat/Netbank/Sikkerhed/Pages/NemID-svi...
-
0
-
0
Der er også et link fra nedenstående artikel:
http://www.version2.dk/artikel/her-er-nemid-trojaneren-usynlig-antivirus...
-
0
-
0
oh well, den havde jeg overset, jeg troede det var en av deres "Læs også" links...
-
0
-
0
Tilføj kommentar
