Computerworld News Service: En sofistikeret trojaner, der er designet til at tømme din bankkonto, bruger et nyt trick til at snyde efterforskerne: Den ændrer adfærd, hvis den bliver overvåget.
Trojaneren URLzone blev opdaget i sidste uge af Finjan Software og er allerede kendt for at være meget avanceret. Den omskriver bankers websider, så ofrene ikke ved, at deres konti er blevet tømt, og den har en sofistikeret "command-and-control"-brugergrænseflade, der gør de kriminelle i stand til at forudindstille hvor høj en procentdel af en saldo, de vil stjæle.
Men Finjan Software er ikke den eneste, der er i hælene på URLzone. Sikkerhedsforskere fra RSA Security oplyser, at denne trojaner benytter adskillige teknikker til at fastslå, om en computer styres af politi eller andre efterforskere.
Efterforskere skaber typisk deres egne programmer, der efterligner adfærden hos rigtige trojanere. Men når URLzone identificerer sådan en, sender den falsk information, oplyser Aviv Raff, der er leder af RSA's forskningslaboratorium, FraudAction.
Går udenom muldyrene
Sikkerhedseksperter har i lang tid forsket i de interne mekanismer i malware såsom URLzone, fortæller Raff.
"Nu ved de ovre på anden side, at de bliver overvågede, og det har de reageret på," siger han.
Når URLzone identificerer en efterforskers program, fortæller serveren, at trojaneren skal foretage en pengeoverførsel i stedet for blot at afbryde forbindelsen til efterforskerens computer.
Men i stedet for at overføre pengene til en af de kriminelles såkaldte muldyr - som er folk, der er blevet rekrutteret til at overføre pengene til udlandet - så vælger trojaneren et uskyldigt offer. Typisk vælges her folk, der har modtaget legitime pengeoverførsler fra andre hackede computere på netværket, forklarer Raff.
Indtil videre er flere end 400 uskyldige konti blevet brugt på denne måde, oplyser RSA.
Idéen med denne adfærd er at forvirre efterforskerne og forhindre de kriminelles rigtige hvidvaskere fra at blive opdagede. Andre bank-trojanere såsom Zeus og Clampi har tømt folks konti i årevis nu, men Finjan Software kalder URLzone for den første af en helt ny og mere intelligent generation af såkaldt crimeware.
URLzone har, ifølge Finjan Software, indtil videre inficeret omkring 6.400 computere og stjålet knap 90.000 kroner per dag.
Oversat af Thomas Bøndergaard
