IT-sikkerhetsselskapet RSA Security har lagt ut en ny advarsel mot en trojaner som ble oppdaget for første gang i februar 2006. «Sinowal», også kjent som «Torpig» og «Mebroot».
Etter å ha sporet fenomenet i nærmere tre år, mener RSA det kan dreie seg om et av de mest gjennomtrengende og avanserte tilfellene av kriminell kode som noen gang er laget.
Andre viruseksperter er enige: Mikko Hyppönen i F-Secure fortalte i et intervju med digi.no fredag at Mebroot er den aller mest avanserte trojaneren de noen gang har kommet over.
RSA mener Sinowal hittil har kompromittert rundt 300 000 kontoer i nettbanker, med brukernavn og passord. Den har også fanget opp personopplysninger knyttet til et tilsvarende antall bank- og kredittkort. Videre er også et antall e-post- og ftp-kontoer også kompromittert.
Ifølge F-Secure angriper Sinowal (Mebroot) per i dag 90 utvalgte europeiske banker. Ingen av disse er norske. Trojaneren biter seg fast i minnet, og overlever til og med Windows «blue screen of death». Ifølge RSA reagerer Sinowal på mer enn 2700 spesifikke nettadresser, knyttet til flere hundre finansinstitusjoner. Ofrene som går inn på disse adressene, ser skjemaer utformet av de kriminelle, med felter som bankene ikke ber om.
Opphavet til Sinowal er ikke kjent. Trojaneren kunne på et tidspunkt knyttes til mafia-nettverket Russian Business Network (RBN), men ifølge RSA stemmer ikke det lenger.
Det skumle ved Sinowal er at ofrenes pc-er infiseres uten at trojaneren legger igjen noen form for spor. Den kommuniserer over en infrastruktur som er nærmest hermetisk lukket for sikkerhetsekspertenes innsyn, og dessuten svært robust. Dataene som Sinowal fanger opp, havner i en velorganisert database. RSA peker på at nærmere tre år er enormt lang tid for én kriminell gjeng å utnytte én enkelt trojaner.
I de siste månedene, fra mars til september, observerte RSA en kraftig økning i Sinowals virksomhet. Denne grafen viser utviklingen av antall nye ofre over tid:
Sinowal kommer stadig i nye varianter, slik denne grafen viser:
Samtidig med at trojaneren slippes i stadig nye varianter, registrerer det kriminelle opphavet tusener av nye Internett-domener som inngår i trojanerens infrastruktur.
_logo.svg.png){kind=logo}
Ifølge RSA er ofrene fordelt på USA, Canada, Storbritannia, Frankrike, Spania, Tyskland, Nederland, Italia, Australia, Kina og Malaysia, samt andre land i Europa, Latin Amerika og Asia. Det er ingen Sinowal-ofre i Russland.
Les hele RSAs analyse her: One Sinowal Trojan + One Gang = Hundreds of Thousands of Compromised Accounts.
Les også:
- [15.12.2008] Foretrekker Opera eller Chrome
- [03.12.2008] Det verste virus-året noensinne
- [16.11.2008] Her er nettmafiaens verste fiende
- [06.11.2008] Her er prisen for å leie PC-zombier
- [31.10.2008] - Fienden har endret taktikk
- [11.12.2007] Raner nettbanken når desemberlønna kommer
- [13.09.2007] Østeuropeere ranet norske nettbanker
- [04.05.2007] Sjekk om nettbanken din er sikker
- [28.04.2006] Spion kan tømme norske bank-kontoer
