De banking trojan heeft zijn kwellende slachtoffers voor ongeveer een decennium.
Beeld: iStock
Een vorm van een banking Trojan, malware heeft zich ontwikkeld tot een nieuwe aanval techniek en is met behulp van geïnfecteerde machines als control-servers en – zelfs na haar vermogen om gegevens te stelen is verwijderd door security producten.
Qakbot is een worm die zich kan verspreiden door middel van de netwerken en is in staat het stelen van referenties, het openen van een achterdeur op de besmette computer en het downloaden van aanvullende malware – alle tijdens het gebruik van een rootkit functionaliteit om stiekem verborgen blijven.
De Trojan werd ontdekt in de late jaren 2000, maar meer dan een decennium op haar nog regelmatig en veroorzaken nieuwe problemen en het heeft nu een nieuwe manier gevonden van de uitvoering van de schadelijke activiteit, zelfs als de malware is verwijderd uit een geïnfecteerde netwerk.
Onderzoekers van McAfee Labs ontdekt dat er een nieuwe vorm van de banking Trojan – ook bekend als Pinkslipbot – die gebruik maakt van besmette machines als HTTPS-based proxy voor de werkelijke control-servers.
Pinkslipbot oogsten banking referenties met behulp van wachtwoorddieven, keyloggers, man-in-browser aanvallen en meer om informatie te stelen, vooral uit AMERIKAANSE financiële instellingen. In totaal heeft de malware stuurt een botnet van meer dan 500.000 machines en onderzoekers zeggen steelt een half miljoen records elke dag.
Nu hebben onderzoekers ontdekt dat een aantal van IP-adressen gekoppeld zijn met de malware bestaan uitsluitend uit besmette machines die dienst doen als HTTPS-proxy ‘ s op basis van de werkelijke control-servers in een poging om ze te verbergen. Het doet dit door het gebruik van universele plug en play (UPnP) poorten te openen, zodat inkomende verbindingen van iedereen op internet.
“Als UPnP uitgegaan van lokale toepassingen en apparaten zijn betrouwbaar, het biedt geen bescherming biedt en is gevoelig voor misbruik door een geïnfecteerde machine op het netwerk. Wij hebben gezien dat meerdere Pinkslipbot control-server proxy ‘ s worden gehost op aparte computers op hetzelfde netwerk als wat lijkt op een openbare Wi-Fi-hotspot,” de onderzoekers gezegd.
“Voor zover wij weten, Pinkslipbot is de eerste malware gebruik van besmette machines als HTTPS-based control-servers en de tweede uitvoerbare bestand-gebaseerde malware te gebruiken voor UPnP port forwarding na de beruchte Conficker-worm in 2008,” zei anti-malware onderzoeker Sanchit Karve.
De lay-out van een typische Pinkslipbot control-server
Afbeelding: McAfee Labs
Onderzoekers zijn nog steeds het bepalen van de exacte procedure die wordt gebruikt om te bepalen of een geïnfecteerde computer kan een proxy, maar drie factoren worden verondersteld een rol te spelen; een IP-adres in Noord-Amerika, een internetverbinding met hoge snelheid en de mogelijkheid om open poorten op een internet gateway met UPnP.
Zodra een geschikte machine is geselecteerd, wordt de malware auteur geeft een control server opdracht tot de geïnfecteerde computer te downloaden van een Trojan binaire die zorgt voor de proxy-onderdeel. Wanneer gelanceerd, het maakt port-forwarding-regels waardoor de geïnfecteerde machine om te worden gebruikt als een controle-server via HTTPs en kunnen aanvragen voor nieuwe Pinkslipbot infecties.
“De poort doorsturen regels die zijn opgesteld door Pinkslipbot zijn te generiek om automatisch verwijderen zonder het risico van toevallige netwerk onjuiste. En omdat de meeste malware niet interfereren met port-forwarding, antimalware oplossingen mogen niet terugkeren van dergelijke wijzigingen. Helaas, dit betekent dat uw computer nog steeds kwetsbaar zijn voor aanvallen van buitenaf, zelfs als uw antimalware product is met succes verwijderd alle Pinkslipbot binaire bestanden van uw systeem”, waarschuwden de onderzoekers.
Uiteindelijk betekent dit dat, zelfs als het slachtoffer heeft verwijderd Pinkslipbot/Qakbot van hun systeem, de machine kan dienen als een proxy-control-server voor de malware – en daardoor kwetsbaar voor andere vormen van online aanval door de open poorten.
McAfee heeft een tool om te kijken voor Pinkslipbot control-server proxy infecties en verwijderen van schadelijke poort mappings.
Toch zijn de onderzoekers waarschuwen dat de opkomst van het Internet van de Dingen die kunnen leiden tot dit soort aanvallen steeds een veel grotere bedreiging in de nabije toekomst.
“Veel Internet van de Dingen die apparaten werken via UPnP en gestaag wordt geïnstalleerd en gebruikt wordt door meer mensen per dag. Als ze steeds meer alomtegenwoordig, cybercriminelen zal zien kansen om met UPnP kwade bedoelingen. We raden gebruikers in de gaten houden op hun lokale poort-forwarding-regels en uitschakelen van UPnP op hun thuis-routers, tenzij ze het nodig hebben,” zei Karve.
LEES MEER OVER CYBERCRIMINALITEIT
Banking Trojan test nieuwe aanval technieken tegen high-profile targetsDridex Trojan bijgewerkt met AtomBombing ontduiking techniquesChinese trojan gedetecteerd verspreid via nep-basisstations [CNET]Nieuwe golf van cyberaanvallen tegen de wereldwijde banken gekoppeld aan Lazarus cybercrime groupThis Android Trojan doet alsof Flash beveiligingsupdate maar downloads aanvullende malware