Wyciekły dane 300 tys. kont

W ciągu ostatnich sześciu miesięcy najprzebieglejszy obecnie bankowy trojan o nazwie Sinowal lub Torpig wykradł dane dostępowe ponad stu tysięcy rachunków - twierdzą analitycy z RSA FraudAction Research Lab.

Wśród ekspertów do spraw wirusów internetowych Sinowal uchodzi za wyjątkowo zaawansowanego trojana, który potrafi zdobyć nie tylko informacje na temat kont bankowych, ale także numery kart kredytowych i dane dostępowe kont FTP. Podobno przez ostatnie trzy lata autorom tego szkodnika, występującego w rozmaitych wariantach, udało się odczytać i przesłać do własnych baz danych informacje dotyczące ponad 300 tysięcy różnego rodzaju kont.

Zagrożenie

Sinowal wstrzykuje własny kod do stron wyświetlanych w przeglądarce, co następnie pozwala jego twórcy podpatrywać działania użytkownika wywołującego znane witryny. Zdaniem ekspertów trojan reaguje już na adresy URL około 2700 banków i innych instytucji finansowych. Wciąż jednak nie wiadomo dokładnie, w jaki sposób dochodzi do infekcji systemów.

Przypuszczalnie odbywa się to przy użyciu już zarażonych witryn, podobnie jak w połowie 2007 roku, gdy wykorzystywano w tym celu zestaw narzędzi MPACK. Zdaniem analityków Kasperskiego do kamuflowania się w systemie Sinowal używa metod rootkitowych. Poza tym przenika on do sektora rozruchowego (MBR) dysku twardego, by już podczas uruchamiania systemu stać się aktywnym.

Według przedstawicieli firmy RSA najciekawsze jest to, że twórcom Sinowala przez trzy lata udało się utrzymać infrastrukturę komunikacyjną łączącą trojana z jego bazą danych. W celu zapewnienia łączności cyberprzestępcy posługują się prawdopodobnie kilkoma tysiącami domen. Wprawdzie RSA nie wspomina o tym w swoim raporcie, ale wszystko wskazuje na to, że do rozpowszechniania trojanów używają oni tzw. sieci fast-flux.

Pochodzenie

Dokładne pochodzenie Sinowala nie jest znane. W sferze spekulacji pozostaje również kwestia jego obecnych właścicieli. Niektórzy twierdzą, że początkowo trojan ten był używany przez rosyjskich przestępców powiązanych z siecią Russian Business Network (RBN). Tymczasem sieć RBN nie odgrywa już tak znaczącej roli, przypuszczalnie z powodu braku dostępności własnej infrastruktury. Firma RSA zamierza upublicznić wyniki swoich obserwacji. Poinformowano już między innymi odpowiednie służby śledcze.

Masz sugestie, uwagi albo widzisz błąd?
Dołącz do nas