Dansk netbank-trojaner bruger man-in-the-middle-angreb

Den trojanske bagdør, som primært er blevet brugt i angreb mod danske netbankkunder, installerer et spionprogram, som kan kapre brugerens forbindelse til banken.

Danmark har været det primære mål for den trojanske bagdør, som de sidste uger har ramt et større antal danske netbankbrugere. Selvom trojaneren er fundet på pc'er i andre lande, så er Danmark klart det land, der er hårdest ramt. Det oplyser sikkerhedsfirmaet Symantecs Security Response i en e-mail til Version2.dk.

Symantec oplyser ligeledes, at trojaneren kan downloade og installere en komponent, der gør det muligt for de kriminelle bagmænd at overtage kontrollen med en netbanksession, uden brugeren opdager det.

Symantec har navngivet trojaneren 'Bankpatch' og beskriver, hvordan programmet overvåger Windows for at opdage, når brugeren logger på sin netbank.

Bankpatch inficerer tre vigtige Windows-filer: Powerprf.dll, kernel32.dll og wininet.dll.

Powerprf.dll bruges af Windows til styring af strømforbruget og bliver blandt andet også brugt, når Windows lukkes ned. Ved at inficere denne fil kan Bankpatch holde øje med, om brugeren har forsøgt at fjerne programmet, inden systemet lukkes ned.

Bankpatch inficerer kernel32.dll for at holde øje med oprettelsen af filer i Internet Explorer, som har relation til en række internetbanker. Det gælder især oplysninger, som gemmes af Java eller ActiveX-komponenter fra visse netbanker, oplyser Symantec.

Ved at inficere wininet.dll kan Bankpatch holde øje med, hvornår brugeren forsøger at oprette en HTTPS-forbindelse til sin netbank. Da filen samtidig bliver brugt af Windows til alle internetforbindelser, kan trojaneren på denne måde også blokere for, at brugeren kan besøge flere sikkerhedsfirmaers websteder.

Wininet.dll bliver også brugt af Bankpatch til at kopiere information fra vinduer i Java og ActiveX-komponenter, så trojaneren kan indsamle oplysninger om brugerens bankkonto.

Selve angrebet kan udføres ved hjælp af et såkaldt Browser Helper Object, BHO, som Bankpatch kan downloade. Ifølge Symantec er der blandt andet tale om et BHO kendt som Infostealer.Nadebanker.

Nadebanker kan bruges til såkaldt man-in-the-middle-angreb. Det betyder, at når en bruger logger på sin netbank, bliver informationen sendt gennem en server, som styres af de kriminelle. For brugeren vil alt se normalt ud, men i baggrunden kan de kriminelle overføre penge fra brugeren konti ved at ændre på den information, som bliver sendt til banken.

Denne type angreb er særlig problematisk, fordi den kan bruges til at angribe netbanker, som benytter to-faktor-autentificering som eksempelvis engangskoder.

Ifølge Symantec er Bankpatch dog lige nu handikappet. Trojaneren indeholder fastindkodede adresser på servere, som den kan hente opdateringer fra, ligesom den også indeholder en algoritme, som kan generere nye domænenavne løbende. Ifølge Symantec er de fleste af disse servere imidlertid ikke tilgængelige for trojaneren i øjeblikket.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (1)

Mickey Mouse

Nadebanker kan bruges til såkaldt man-in-the-middle-angreb. Det betyder, at når en bruger logger på sin netbank, bliver informationen sendt gennem en server, som styres af de kriminelle. For brugeren vil alt se normalt ud, men i baggrunden kan de kriminelle overføre penge fra brugeren konti ved at ændre på den information, som bliver sendt til banken.

Denne trafik gennem servereren vil vel kunne ses i f.eks ens routers log?

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Affecto Denmark reaches highest Microsoft Partner level

Affecto Denmark, a leading provider of data-driven solutions, has reached the highest level in the Microsoft partner ecosystem: Managed Partner.
22. jun 2017

Innovate your business with Affecto's IoT Explorer Kit

Are you unsure if Internet of Things fits your business strategy?
31. maj 2017

Big Data Lake Summit: Fast and Trusted Insights

If you want to outpace, outsmart and outperform your competition in a digital world, you need trusted data that can be turned into actionable business insights at speed.
24. apr 2017