Trojaans paard vervangt banksite door phishingpagina

Cybercriminelen zouden steeds vaker Trojaanse paarden gebruiken die actief worden zodra internetgebruikers de website van hun bank bezoeken. Al geruime tijd bestaan er banking Trojans, die bijvoorbeeld extra invoervelden tijdens het inloggen op de banksite tonen of transacties manipuleren, maar nu waarschuwt het Israëlische beveiligingsbedrijf RSA voor de “phish locker”.
Dit is een Trojaans paard dat actief wordt zodra een gebruiker een website bezoekt die op een vooraf gedefinieerde lijst staat vermeld. De malware sluit in dit geval het browservenster en laat de Windows Startknop verdwijnen. Vervolgens toont de Trojan, gebaseerd op de website die de gebruiker probeerde te bezoeken, een corresponderend webformulier, dat precies op de legitieme website lijkt.

Geavanceerd

In werkelijkheid gaat het om een phishingpagina die alle ingevulde gegevens doorstuurt naar de cybercriminelen. Phish lockers zijn dan ook minder geavanceerd dan banking Trojans. Die kunnen op een besmet systeem toetsaanslagen monitoren, documenten, certificaten en cookies stelen, en al deze informatie op verschillende manieren terugsturen, bijvoorbeeld via een versleuteld kanaal. De phish locker gebruikt hiervoor simpelere methodes, zoals e-mail.
Een ander verschil met banking Trojans is de mate van activiteit. Banking Trojans zijn tijdens het browsen vaak continu in de achtergrond actief, terwijl de phish locker de browser juist sluit en dan de gegevens pas steelt. Zodra de informatie naar de criminelen is verstuurd blijft het programma inactief en voert het verder geen schadelijke activiteiten uit, waardoor de gebruiker de controle weer terugkrijgt, aldus RSA.

Gebieden

“Het is vrij interessant om dit soort Trojaanse paarden te zien, die in vergelijking met de meeste banking Trojans zeer simpel zijn. Het is nog interessanter dat ze in bepaalde gebieden verschijnen waar de veiligheid van internetbankieren vaak erg geavanceerd is”, aldus het beveiligingsbedrijf. De phish lockers werden begin dit jaar in Latijns-Amerika gezien, maar wat de nieuwe locaties zijn laat RSA niet weten.

Bron: Security.nl

Virus vermomt zich als Google Chrome in Windows Register

Een truc die cybercriminelen toepassen om malware te verspreiden wordt nu ook gebruikt om de kwaadaardige programma’s in het Windows Register te verbergen. Het gaat om de zogeheten RTLO-truc. RTLO staat voor Right-to-Left-Override en zorgt ervoor dat via een speciaal unicode karakter de volgorde van karakters van een bestandsnaam kan worden omgedraaid. Hierdoor wordt SexyPictureGirlAl[RTLO]gpj.exe in Windows als SexyPictureGirlAlexe.jpg weergegeven.

De Sirefef malware gebruikt dit unicode karakter om zich in het Windows Register te verstoppen, waar het zich als een registersleutel van Google Chrome voordoet. Het gaat om de sleutel “gupdate”, die identiek lijkt aan de Google Update Service. Wordt de registerwaarde van Sirefef zonder unicode-ondersteuning bekeken, dan wordt de werkelijke naam zichtbaar.
“Dit laat weer een gecoördineerde poging van malware zien om zichzelf in het zicht te verbergen door zich als iets anders voor te doen”, aldus Raymond Roberts van het Microsoft Malware Protection Center.

Bron: Security.nl

ESET op de 1e plaats in de AV-Comparatives ‪phishing t‬est 2013

Naast malware zijn beveiligingspakketten ook in staat om phishingsites te blokkeren, waarbij de producten van ESET En Kaspersky Lab als beste uit de bus komen. Het Oostenrijkse AV-Comparatives besloot 16 Internet Security Suites met zowel phishingsites als legitieme websites te testen.
Als testplatform werd Windows 7 64-bit met Internet Explorer 10 genomen, waarbij het phishingfilter van de browser was uitgeschakeld. Geen enkel programma sloeg alarm bij de 400 legitieme websites waarmee werd getest.

Uitslag

Bij de detectie van de 187 phishingsites wisten ESET en Kaspersky 99% te blokkeren, gevolgd door Bitdefender, McAfee en Trend Micro met 98%. Het Chinese Qihoo en het Duitse G Data zetten met respectievelijk 64% en 80% de laagste score neer. Negen Internet Security Suites wisten 94% of meer van de phishingsites te herkennen.

Link naar artikel: PDF

Trojaans paard laat computer onbeveiligd achter

Een Trojaans paard dat gebruikersnamen en wachtwoorden steelt en de aanwezige beveiliging uitschakelt, gebruikt ook een slimme truc om de rechten die het op een besmet systeem heeft te verhogen. “MSIL:Agent-AKP”, zoals anti-virusbedrijf Avast! de malware noemt, is een informatie stelende Trojan die computers via ongepatchte beveiligingslekken infecteert.

Eenmaal actief zoekt de malware naar wachtwoorden van verschillende FTP-programma’s, zoals FileZilla, SmartFTP, CoreFTP, FlashFXP, WinSCP en FTP Commander, die naar de maker wordt teruggestuurd. Daarnaast wordt de Protected Mode sandbox van Internet Explorer en de sandbox van Adobe Reader, de Windows back-upmeldingen, Windows Update, het Security Center en Windows Firewall uitgeschakeld.

Verder is de malware in staat om aanwezige Java-plug-in in of uit te schakelen. Volgens de onderzoekers hebben de malwaremakers er bewust voor gekozen door het uitschakelen van de beveiliging en het maken van de aanpassing om het systeem ook in de toekomst toegankelijk voor malware te maken.

Truc

Om de rechten op de computer te verhogen laat de Trojan een waarschuwing zien die stelt dat er beschadigde bestanden op de harde schijf zijn aangetroffen. Om die zogenaamd te herstellen kan de gebruiker uit “Restore files” en “Restore files and check disk for errors” kiezen.

Ongeacht welke optie de gebruiker kiest wordt er niets gecontroleerd of gerepareerd, maar gebruikt de malware in de achtergrond de optie “uitvoeren als” om via de zogenaamde waarschuwing de rechten te verhogen. Standaard veroorzaakt dit in Windows een waarschuwing van User Account Control (UAC).

Aangezien gebruikers denken dat ze ze op deze manier de bestanden kunnen herstellen, is volgens de onderzoekers de kans groot dat ze het programma toestemming geven. De malware verspreidt zich via ongepatchte lekken. Gebruikers die hun software up-to-date houden lopen daardoor geen risico.

Bron: Security.nl