Rohamosan fejlődik a hírhedt banki trójai

Az egyik leghírhedtebb, banki adatokat veszélyeztető trójai program képességei még inkább kiteljesedtek. A vírusterjesztők, adattolvajok és csalók mostantól még nagyobb hatalommal rendelkeznek.
 

A banki adatok, illetve bankszámlák biztonságát veszélyeztető trójai programok az utóbbi években töretlenül fejlődtek. Az internetes feketepiacon komoly rivalizálás alakult ki e károkozók tekintetében, ugyanis az adatlopásra vagy banki tranzakciók manipulálására alkalmas, sokszor nagymértékben testreszabható számítógépes kártevők meglehetősen nagy keresletnek örvendenek a kiberbűnözők körében. Az egyik legfelkapottabb, és ebből kifolyólag sokszor emlegetett trójainak a Shylock számít, amely 2011 óta veszélyezteti a felhasználók értékeit.

A Shylock fejlődése

A hírhedt trójai program első variánsai már a megjelenésükkor képesek voltak a legtöbb elterjedt Windows verziót megfertőzni, kezdve a Windows 2000-rel. Az általuk alkalmazott módszerek egyre kifinomultabbakká váltak, miközben a károkozó mind több banki ügyfelet állított célkeresztbe. A trójainak azonban nemcsak a támadási, hanem a védekező képességei is fejlődtek. Tavaly a Trusteer kutatói mutatták ki azt, hogy a Shylock pontosan felméri, hogy milyen környezetbe került, és ha például távoli asztali kapcsolatot észlel, akkor egész egyszerűen leáll, ugyanis ilyenkor azt feltételezi, hogy víruskutatók vizsgálják. Az év elején pedig a terjedési mechanizmusai bővültek, hiszen megjelent egy olyan változata, amely Skype-on keresztül kezdte ostromolni a PC-ket.

Hol tartunk most?

A Shylock folyamatos fejlődését elsősorban az teszi lehetővé, hogy a kártékony program moduláris felépítésű. Ezáltal a készítői olyan módon tudják bővíteni a szerzeményüket, hogy az alapkódhoz nem vagy csak részben nyúlnak hozzá. Ez történt az elmúlt hetekben is. A Symantec ugyanis egy olyan új Shylock variánst fülelt le, amely ezt a moduláris felépítést jól példázza. A legújabb változat többek között az alábbi komponensekből épül fel:
- Archiver: a rögzített videofájlok tömörítését végzi, mielőtt azokat feltölti egy távoli szerverre
- BackSocks: proxy szervert hoz létre a fertőzött számítógépeken
- DiskSpread: gondoskodik a cserélhető adattárolókon való terjedésről
- Ftpgrabber: különféle alkalmazások által eltárolt jelszavakat gyűjt össze
- VNC: távoli hozzáférést biztosít a fertőzött számítógépekhez.

A Shylock legújabb variánsa is az úgynevezett man-in-the-browser (MITB) támadási módszert preferálja, amelynek során folyamatosan kémleli a böngészőben végzett tevékenységeket, és ennek segítségével igyekszik adatokat gyűjteni, tranzakciókat manipulálni vagy különféle hamis weboldalakkal és információk megjelenítésével megtéveszteni a felhasználót.

A háttérrendszer sem piskóta

A Shylock önmagában még nem lenne olyan veszélyes, mint amilyen valójában. Ennek oka, hogy a trójai csak akkor tudja ellátni a feladatainak zömét, ha vezérlőszerverekhez tud kapcsolódni. Ez esetben azonban korántsem csak egy szerver végzi az összes Shylock példány kiszolgálását, hanem a Symantec vizsgálatai szerint egy komplett háttérinfrastruktúra. Ebben a vírusterjesztők még a terhelésmegosztást is megvalósították, vagyis ha egy szerverhez sok trójai próbál kapcsolódni, és tömegesen töltenék fel arra a lopott adatokat, akkor a rendszer más kiszolgálók felé irányítja a kliensek egy részét. A kommunikáció titkosított (SSL) csatornákon keresztül zajlik.

Hol terjed?

A biztonsági cég statisztikái szerint a Shylock jelenleg körülbelül 60 bank esetében tud igazán problémákat okozni. Elsősorban olyan brit pénzintézetek ügyfeleinek számláira vadászik, akik feltételezhetően nagyobb összegeket tartanak a bankjukban. Ez azonban nem jelenti azt, hogy a trójai más országokban nem ütötte fel a fejét.

A Shylock elleni védekezés legjobb módja a naprakész víruskeresők alkalmazása, és a biztonságtudatos számítógép-, illetve internethasználat.