Artikel top billede

Glubsk supertrojaner spiser Windows, Mac og VMware

En helt ny type multi-trojaner rammer et hav at forskellige platforme med den samme kode. Den bringer it-kriminelle op på næste udviklingstrin, lyder analysen.

Læs mere:
Nets: Derfor kan du stole på NemID trods nyt indbrud

Sådan undgår du at blive snydt af dyr porno-trojaner

En trojaner, der blev opdaget i juli, viser sig efter nærmere analyse at være langt mere potent end først antaget.

Den er blevet døbt Crisis, og trojaneren udmærker sig ved at gå efter en hel stribe forskellige it-platforme, herunder Windows- og Mac-installationer, VMwares virtuelle miljøer og Windows mobile-enheder.

"Crisis er en type malware, kaldet multi-threat eller krydsplatforms-malware, som vi skal forholde os til. Betegnelsen dækker over skadelig kode, der kan sprede sig på tværs at operativsystemer," siger Peter Kruse, der er sikkerhedsanalytiker i firmaet CSIS.

"Teknisk set er Crisis meget interessant for en analytiker som mig, fordi det er et nyt udviklingstrin inden for malware, men it-administratorer har næppe den samme opfattelse," siger han.

Kendt teknik får nyt krudt

Ideen om malware, der rammer mange forskellige platforme, er ikke ny. Helt tilbage i 2001 var det første eksempel, kaldet Nimda, på banen.

Den gik efter Windows-installationer i alle afskygninger, og den spredte sig via en stribe forskellige kanaler.

Men Crisis angreb på de virtuelle miljøer er ganske unik.

"De fleste malware-typer gør faktisk det stik modsatte af Crisis," fortæller Peter Kruse.

"Hvis de afvikles på et VMware-system, så sletter de sig selv, blandt andet for at drille sikkerhedsfolk, der laver dynamiske analyser af skadelig kode i virtuelle miljøer. Men Crisis kan lide VMware."

I koden er der indbygget mekanismer, der ligefrem leder efter virtuelle images.

"Hvis de detekteres, kopierer den sig ned i de virtuelle systemer og spreder i hele det virtuelle netværk."

VMware fortæller, at problemet kun er relevant for Type 2 hypervisor, altså når virtualiserings-motoren kører oven på Windows eller OS X.

Denne type arkitektur findes i firmaets retail-produkter, VMware Workstation til pc og VMware Fusion til Mac, og de er kun ramt i det tilfælde, at den virtuelle disk er ukrypteret.

Ingen andre VMware produkter er ramt, lyder det fra Virtualiseringefirmaet.

Sådan kommer malware under radaren

Opbygningen af Crisis gør, at den ikke umiddelbart dukker op på radaren hos sikkerhedsanalytikerne.

"Applikationen er signeret med et gyldigt certifikat, der er stjålet fra en virksomhed, og det medfører, at den er meget svær at opdage for antivirus-firmaerne. Når en kode har et certifikat, opfattes den nemlig ikke som en umiddelbar trussel men som troværdig software," siger han.

Antivirus-firmaerne anvender automatiserede analysemodeller, der leder efter definerede karakteristika i software, til at skanne for skadelig kode, men det har Crisis-udviklerne altså taget højde for.

Malware, der kan stjæle digitale certifikater, er en tendens, der breder sig med lynets hast blandt it-kriminelle, netop af denne årsag.

Kedelig spion-software

De funktioner, der er indbygget i Crisis, er dog ikke på nogen måde unikke. Applikationen kan overvåge trafik og stjæle brugernavne eller passwords.

"Der er bare tale om en informationstyv, og på det område ligner Crisis 99 procent af alle de andre malware-programmer, der findes" siger Peter Kruse.

Han fortæller desuden, at der ikke er nogen røde lamper, der blinker i forhold til udbredelsen af Crisis i Danmark. Crisis rammer ikke iPhone eller Android.

Læs mere:
Nets: Derfor kan du stole på NemID trods nyt indbrud

Sådan undgår du at blive snydt af dyr porno-trojaner




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
itm8 A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere