Storm-angrep mot banker

Storm-angrep mot banker

Det fryktede Storm-botnettet blir leid ut og brukt til id-tyverier i nettbanker.

Deler av Storm-botnettet ser ut til å være leid ut til id-tyver, ifølge flere sikkerhetsanalytikere. Dette nettet av kaprede pc-er brukes til å angrep mot flere britiske banker.

Det dreier seg om to angrep utført nylig, et mot kunder i storbanken Barclays, et annet mot kontoinnehavere i en annen storbank, Bank of Scotland. Kildene for begge angrepene skal være domener tilknyttet dokumenterte kampanjer for å bygge ut nettet av Storm-infiserte pc-er, skriver den amerikanske utgaven av Computerworld.

Fast flux

Opplysningen om at angrepet mot Barclay kommer fra Storm-kontrollerte pc-er kommer fra sikkerhetsselskapet Fortinet. Det aktuelle "fast-flux" -domenet har vært brukt av Storm-nettet siden sommeren 2007.

Metoden kalt "fast-flux" går ut på at adresser blir raskt registrert og avregistert på adresselister tihørende en DNS-server (DNS- domenenavn-system) eller DNS-sone.

Taktikken er å maskere ip-adressen til nettstedet som sender ut angrepskode, ved å gjemme den bak et kontinuerlig skiftende utvalg av kompromitterte maskiner, som opptrer som proxy-servere, eller mellomledd. I noen tilfeller endres adressene så ofte som en gang i sekundet.

Tirsdag, etter at domenet brukt i angrepet mot Barclay ble stengt, byttet botnettet domener og begynte å sende epost til kunder i Halifax, en avdeling i Bank of Scotland, i et forsøk på å lure ut kontonummer, brukernavn og passord.

LES OGSÅ: Gigantisk zombie-hær klar til angrep

Det finske sikkerhetsselskapet F-Secure koblet en av ip-adressene brukt i angrepet mot Halifax til domener som ble brukt for kort tid siden i falske, virusbefengte nyttårshilsener (postcards-2008.com).

"Noen forsøker nå å utnytte maskiner som er infisert med og styrt av Storm-viruset til å kjøre nettfiske-angrep. Vi har ikke sett dette før. men det er ikke å overraskende", skriver F-Secures sjefsteknolog Mikko Hypponen i sin blogg.

Leid ut

Også Trend Micro bemerker i en blogg at deler av boitnett bygget opp via Storm blir leid ut til id-tyveri/phishing-angrep. En annen ekspert, Joe Stewart i SecureWorks, er mer skeptisk og etterspør håndfaste bevis.

Trojaneren Storm ble oppdaget for første gang 17. januar 2007.

Les om:

Sikkerhet