Dansk netbank-trojaner bruger man-in-the-middle-angreb

Den trojanske bagdør, som primært er blevet brugt i angreb mod danske netbankkunder, installerer et spionprogram, som kan kapre brugerens forbindelse til banken.

Danmark har været det primære mål for den trojanske bagdør, som de sidste uger har ramt et større antal danske netbankbrugere. Selvom trojaneren er fundet på pc'er i andre lande, så er Danmark klart det land, der er hårdest ramt. Det oplyser sikkerhedsfirmaet Symantecs Security Response i en e-mail til Version2.dk.

Symantec oplyser ligeledes, at trojaneren kan downloade og installere en komponent, der gør det muligt for de kriminelle bagmænd at overtage kontrollen med en netbanksession, uden brugeren opdager det.

Symantec har navngivet trojaneren 'Bankpatch' og beskriver, hvordan programmet overvåger Windows for at opdage, når brugeren logger på sin netbank.

Bankpatch inficerer tre vigtige Windows-filer: Powerprf.dll, kernel32.dll og wininet.dll.

Powerprf.dll bruges af Windows til styring af strømforbruget og bliver blandt andet også brugt, når Windows lukkes ned. Ved at inficere denne fil kan Bankpatch holde øje med, om brugeren har forsøgt at fjerne programmet, inden systemet lukkes ned.

Bankpatch inficerer kernel32.dll for at holde øje med oprettelsen af filer i Internet Explorer, som har relation til en række internetbanker. Det gælder især oplysninger, som gemmes af Java eller ActiveX-komponenter fra visse netbanker, oplyser Symantec.

Ved at inficere wininet.dll kan Bankpatch holde øje med, hvornår brugeren forsøger at oprette en HTTPS-forbindelse til sin netbank. Da filen samtidig bliver brugt af Windows til alle internetforbindelser, kan trojaneren på denne måde også blokere for, at brugeren kan besøge flere sikkerhedsfirmaers websteder.

Wininet.dll bliver også brugt af Bankpatch til at kopiere information fra vinduer i Java og ActiveX-komponenter, så trojaneren kan indsamle oplysninger om brugerens bankkonto.

Selve angrebet kan udføres ved hjælp af et såkaldt Browser Helper Object, BHO, som Bankpatch kan downloade. Ifølge Symantec er der blandt andet tale om et BHO kendt som Infostealer.Nadebanker.

Nadebanker kan bruges til såkaldt man-in-the-middle-angreb. Det betyder, at når en bruger logger på sin netbank, bliver informationen sendt gennem en server, som styres af de kriminelle. For brugeren vil alt se normalt ud, men i baggrunden kan de kriminelle overføre penge fra brugeren konti ved at ændre på den information, som bliver sendt til banken.

Denne type angreb er særlig problematisk, fordi den kan bruges til at angribe netbanker, som benytter to-faktor-autentificering som eksempelvis engangskoder.

Ifølge Symantec er Bankpatch dog lige nu handikappet. Trojaneren indeholder fastindkodede adresser på servere, som den kan hente opdateringer fra, ligesom den også indeholder en algoritme, som kan generere nye domænenavne løbende. Ifølge Symantec er de fleste af disse servere imidlertid ikke tilgængelige for trojaneren i øjeblikket.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (1)
Axel Hammerschmidt

Nadebanker kan bruges til såkaldt man-in-the-middle-angreb. Det betyder, at når en bruger logger på sin netbank, bliver informationen sendt gennem en server, som styres af de kriminelle. For brugeren vil alt se normalt ud, men i baggrunden kan de kriminelle overføre penge fra brugeren konti ved at ændre på den information, som bliver sendt til banken.

Denne trafik gennem servereren vil vel kunne ses i f.eks ens routers log?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017