Slik er ideal-trojaneren for de kriminelle

Tre år gamle «Sinowal» muterer stadig, og har hittil fanget opp hundretusener av kontoer.

Særlig siden mai i år har Sinowal kapret stadig flere nye bankkontoer. (graf: RSA Security)
Særlig siden mai i år har Sinowal kapret stadig flere nye bankkontoer. (graf: RSA Security)
3. nov. 2008 - 10:00

IT-sikkerhetsselskapet RSA Security har lagt ut en ny advarsel mot en trojaner som ble oppdaget for første gang i februar 2006. «Sinowal», også kjent som «Torpig» og «Mebroot».

Etter å ha sporet fenomenet i nærmere tre år, mener RSA det kan dreie seg om et av de mest gjennomtrengende og avanserte tilfellene av kriminell kode som noen gang er laget.

Andre viruseksperter er enige: Mikko Hyppönen i F-Secure fortalte i et intervju med digi.no fredag at Mebroot er den aller mest avanserte trojaneren de noen gang har kommet over.

RSA mener Sinowal hittil har kompromittert rundt 300 000 kontoer i nettbanker, med brukernavn og passord. Den har også fanget opp personopplysninger knyttet til et tilsvarende antall bank- og kredittkort. Videre er også et antall e-post- og ftp-kontoer også kompromittert.

Ifølge F-Secure angriper Sinowal (Mebroot) per i dag 90 utvalgte europeiske banker. Ingen av disse er norske. Trojaneren biter seg fast i minnet, og overlever til og med Windows «blue screen of death». Ifølge RSA reagerer Sinowal på mer enn 2700 spesifikke nettadresser, knyttet til flere hundre finansinstitusjoner. Ofrene som går inn på disse adressene, ser skjemaer utformet av de kriminelle, med felter som bankene ikke ber om.

Opphavet til Sinowal er ikke kjent. Trojaneren kunne på et tidspunkt knyttes til mafia-nettverket Russian Business Network (RBN), men ifølge RSA stemmer ikke det lenger.

Det skumle ved Sinowal er at ofrenes pc-er infiseres uten at trojaneren legger igjen noen form for spor. Den kommuniserer over en infrastruktur som er nærmest hermetisk lukket for sikkerhetsekspertenes innsyn, og dessuten svært robust. Dataene som Sinowal fanger opp, havner i en velorganisert database. RSA peker på at nærmere tre år er enormt lang tid for én kriminell gjeng å utnytte én enkelt trojaner.

I de siste månedene, fra mars til september, observerte RSA en kraftig økning i Sinowals virksomhet. Denne grafen viser utviklingen av antall nye ofre over tid:

Særlig siden mai i år har Sinowal kapret stadig flere nye bankkontoer. (graf: RSA Security)
Særlig siden mai i år har Sinowal kapret stadig flere nye bankkontoer. (graf: RSA Security)

Sinowal kommer stadig i nye varianter, slik denne grafen viser:

Siden september 2006 kommer Sinowal-trojaneren i stadig flere nye varianter. (graf: RSA Security)
Siden september 2006 kommer Sinowal-trojaneren i stadig flere nye varianter. (graf: RSA Security)

Samtidig med at trojaneren slippes i stadig nye varianter, registrerer det kriminelle opphavet tusener av nye Internett-domener som inngår i trojanerens infrastruktur.

Ifølge RSA er ofrene fordelt på USA, Canada, Storbritannia, Frankrike, Spania, Tyskland, Nederland, Italia, Australia, Kina og Malaysia, samt andre land i Europa, Latin Amerika og Asia. Det er ingen Sinowal-ofre i Russland.

Les hele RSAs analyse her: One Sinowal Trojan + One Gang = Hundreds of Thousands of Compromised Accounts.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.