Flere hundre tusen norske PC-er har blitt infisert av skadevare som er blitt installert etter at brukerne har besøkt ondsinnede nettsteder. Det fortalte Preben Nyløkken, senior sikkerhetsanalytiker i sikkerhetsselskapet Websense, i en foredrag i forbindelse med sikkerhetskonferansen Re:Load som ble arrangert av Aproco Data i Oslo i forrige uke.
Blant annet skal 276.000 norske PC-brukere ha fått PC-ene sine infisert av en såkalt «downloader» etter å ha besøkt nettstedet ysbweb.com. Flere tusen andre PC-er skal ha blitt infisert av en banktrojan. Skadevaren utnytter mer eller mindre kjente sårbarheter i brukerens nettleser eller operativsystem for å infisere maskinen.
Les også:
- [24.01.2008] Størst smittefare fra legitime nettsteder
- [08.11.2007] 32 norske servere sprer trojanere
- [30.10.2007] Russisk nettside selger PC-infeksjon
- [14.09.2007] Flom av angrep på norske nettbanker
- [22.08.2007] Spredte trojaner via EDBs nettsted
- [16.08.2007] Mobilbank mindre sikker enn nettbank
- [16.05.2007] Enkelt å lamme norske nettbanker
- [03.05.2007] Nettbank-innbruddene fortsetter
- [18.04.2007] Nye tiltak for å trygge nettbanken
Spredningsforsøk på websider er enkle å detektere Ifølge Nyløkken er det websider, både sider som brukeren burde kunne stole på og andre, som nå står for den største spredningen av skadevare. Bruken av e-post til slik spredning har gått kraftig ned, rett og slett fordi det ikke fungerer særlig godt lenger.
- Weben har den fordelen at det er noe alle bruker, sier Nyløkken.
Men han understreker også at spredningsforsøk på websider er enkle å detektere. Det er nettopp dette området Websense har spesialisert seg på. Det analyserer selve websidene og finner dermed fram til skadevaren.
Den ondsinnede koden som tidligere i år var blitt plantet på norske EDBs nettsted, ble oppdaget av nettopp Websense.
Ifølge Nyløkken har denne metoden flere fordeler framfor den mange andre sikkerhetsselskaper satser på. Man trenger blant annet ikke å ha en kopi av skadevaren for å kunne sperre den ute. Det holder med å holde brukerne unna nettstedene. Og selv om nettstedene skifter ut skadevaren med nye varianter, vil brukerne av Websense' løsninger stadig skjermes for ting som kommer fra disse nettstedene.
Det kommer hele tiden nye varianter av skadevare. Nyløkken forteller at bare fra Brasil registreres det omtrent 100 nye banktrojaner hver dag. Dette er skadevare som i verste fall kan brukes til å tappe nettbankkontoer for penger.
Et eksempel på skadevare som mange benytter, er Webattacker. Dette er et system som selges for mellom 100 og 300 dollar og som bare tar noen få minutter å sette opp. I juni registrerte Websense 347 servere for Webattacker.
276.000 norske PC-brukere har fått PC-ene sine infisert av en såkalt «downloader» etter å ha besøkt nettstedet ysbweb.com Bak løsninger som Webattacker står organiserte kriminelle, blant annet i Russland. Disse selger informasjonen de tilegner seg gjennom den ondsinnede programvaren til svindlere som vil utnytte PC-brukere lokalt, for eksempel i Norge. Ved hjelp av IP-adressen til PC-ene er det vanligvis enkelt på å finne fram til i hvilket land PC-en befinner seg, i blant til og med i hvilken by.
En del norske brukere har fått PC-en sin infisert av en trojan som kalles Briz (Trj.Briz.x). En portalserver for denne trojanen som Websense hadde fått tilgang til, var knyttet til 9000 PC-er. Åtte av disse var norske. Trojanen ble brukt til å lage profiler over ofrene. Dette ble gjort ved hjelp av en keylogger, som sender over alt brukeren skriver på tastaturet. Men den sender også over skjermbilder av det brukeren gjør, i tillegg til at den skal kunne registrere nummer som velges fra virtuelle tastaturer ved hjelp av musen. Mye informasjon kan hentes fra lynmeldingssamtaler.
I et konkret norsk tilfelle skal ondsinnede ved hjelp av Briz ha laget en profil om en norsk kvinne som inkluderte blant annet navn, adresse, kontonummer, personnummer, at hun hadde en kjæreste som hun kranglet mye med, at de sender omtrent 5 SMS-er til hverandre hver dag, at begge bruker kontantkort i mobilen, at paret ser etter en bolig, hva kvinnen har i årslønn, at hun bruker mye penger på kvinneblader, at hun jobber som sykepleier ved et sykehus og i praksis alt hun gjør på PC-en.
En del norske brukere har fått PC-en sin infisert av en trojan som kalles Briz. I tillegg gir trojan de ondsinnede full tilgang til den infiserte maskinens lagringsenheter, slik at informasjon kan plantes eller filer kan slettes.
Når Websense kommer over slike tilfeller, gir de beskjed til lokale organer som man mener er de riktige. Selskapet har ikke lov til å fortelle hvem som ble kontaktet i tilfellet over, men selskapet tar ikke kontakt med ofrene direkte.
Nyløkken skriver mer om Briz-trojanens herjinger her.
En annen observasjon Websense har gjort, er at den økende interessen for Linux, særlig Ubuntu, også har ført til økt oppmerksomhet om denne plattformen fra de kriminelle miljøene. Selskapet har sett eksempler på skadevare som nå er tilrettelagt for å angripe brukere av Linux, men også Mac OS X. Foreløpig har man ikke sett noen økning i spredningsforsøkene, men Nyløkken mener det kun er et tidsspørsmål før dette vil skje. Derfor har Websense nå forberedt seg på en slik situasjon.