Connect with us

technokrata

Kifosztott ezrek – új trójai terjed

Dotkom

Kifosztott ezrek – új trójai terjed

Célkeresztben az otthoni felhasználók.

Már korábban is létezett a Gozi névre hallgató trójai program, melyet orosz hacker(ek?) készítettek. Közel egy hónapja azonban megjelent egy újabb, még jobb lopakodási képességekkel bíró változata, amely eddig szerte a világon több mint kétezer ember személyes adatait tulajdonította el. Ezek között banki és hitelkártya adatokat, számlaszámokat ugyanúgy meg lehet találni, mint társadalombiztosítási számokat, felhasználóneveket és jelszavakat.

A Gozi érdekessége, hogy az információkat a titkosított SSL folyamokból lopja el – ezeket aztán egy Oroszországban található szerver számára továbbítja. Emellett olyan új, széles körben még el nem terjedt „önkarbantartó” funkcióval rendelkezik, amellyel képes saját elemeit titkosítani, tömöríteni és akár meg le is törölni, annak érdekében, hogy kikerülje a hagyományos, szignatúra alapú antivírus eszközök kutakodását.

Billentyűleütést figyelő funkciója akkor kapcsol be, ha a felhasználó a fertőzött számítógépről meglátogat egy banki website-ot és megpróbál oda belépni; vagy abban az esetben, ha SSL sessiont kezdeményez. Amire az IT-biztonsággal foglalkozó kutatók mindmáig nem jöttek rá: honnan tudja a keylogger, hogy el kell indulnia és meg kell jegyeznie az információkat. Fertőzési viselkedése azonban ismert: általában különböző website-okról, fórumokról, közösségi hálózatokról terjed.

Az a szerver, amire az adatokat továbbította a trójai program, profi frontenddel rendelkezett. A jogosultsággal rendelkező felhasználók bejelentkezhettek, megnézhették az indexelt adatokat és még lekéréseket is intézhettek a Gozi által összegyűjtött adatbázison, például URL-ek szerint. Mindezt pénzért – minden egyes lekérés egy bizonyos összegű virtuális pénzbe, a nagyjából dollárban paritásban levő WMZ-be került, vagyis a trójai program írója nem közvetlenül az ellopott adatokkal keresett pénzt, hanem azok (automatizált) értékesítésével. Ezt onnan tudni, hogy a hatóságok felvették a szervert üzemeltető Internet-szolgáltatóval a kapcsolatot, ez utóbbi pedig leválasztotta az Internetről a számítógépet, amit aztán átvizsgáltak.



Szólj hozzá!

További Dotkom

Technokrata a Face-en

Tesztek