Een Trojaans paard dat allerlei zeer gevoelige financiële gegevens steelt heeft mogelijk een miljoen computers geïnfecteerd en gebruikt een Windows tool om zich te verspreiden. De Clampi Trojan, ook bekend als Ligats, Ilomo of Rscan, is ontworpen om informatie zoals inloggegevens voor internetbankieren en aandelensites, creditcardgegevens, verzekeringsgegevens, bezochte vacaturesites en favorieite webwinkels te stelen. In totaal heeft de malware het op 4500, vaak financiële, websites in 70 verschillende landen voorzien. Het gebruikt verschillende, gemanipuleerde DLL-bestanden om de informatie op systemen te stelen.
De gestolen informatie wordt vervolgens in versleutelde vorm naar de Command & Controle server gestuurd. Joe Stewart van beveiligingsbedrijf SecureWorks deed onderzoek naar de malware. Hij schat dat tussen de honderdduizend en 1 miljoen machines met de Trojans besmet zijn geraakt. Die gebruikt kwaadaardige bijlagen en exploit-toolkits om computers te infecteren.
Oost-Europa
Volgens Stewart is Clampi het werk van een georganiseerde bende criminelen uit Oost-Europa en is de malware betrokken geweest bij het stelen van grote bedragen van financiële instellingen. Geïnfecteerde gebruikers krijgen dan ook het advies om alle inloggegevens meteen te wijzigen. De malware dankt zijn succes aan het gebruik van de inloggegevens van de domain administrator, die het weet te stelen. Zodra het domain adminrechten heeft, gebruikt het de psexec tool van Sysinternals, onderdeel van Microsoft, om zich naar alle computers binnen het domein te kopiëren. Daarnaast kan het zich ook via draagbare schijven verspreiden. Clampi fungeert verder als proxy server voor de criminelen als ze met de gestolen gegevens inloggen. Een autobedrijf raakte begin deze maand 75.000 dollar door het Trojaanse paard kwijt.
Bescherming
De meeste anti-virusbedrijven zouden Clampi inmiddels herkennen, toch kan het met nieuwe varianten even duren voordat dit het geval is. Vanwege het gevaar van de Trojan, krijgen bedrijven het advies om internetbankieren en financiële transacties via een apart en geïsoleerd werkstation te doen. Het beveiligingsbedrijf raadt consumenten aan om een aparte computer voor online bankieren en het betalen van rekeningen te gebruiken. "Ze moeten die computer niet gebruiken om mee te surfen of te e-mailen, aangezien web exploits en kwaadaardige e-mail de twee belangrijkste infectiebronnen zijn."
De gestolen informatie wordt vervolgens in versleutelde vorm naar de Command & Controle server gestuurd. Joe Stewart van beveiligingsbedrijf SecureWorks deed onderzoek naar de malware. Hij schat dat tussen de honderdduizend en 1 miljoen machines met de Trojans besmet zijn geraakt. Die gebruikt kwaadaardige bijlagen en exploit-toolkits om computers te infecteren.
Oost-Europa
Volgens Stewart is Clampi het werk van een georganiseerde bende criminelen uit Oost-Europa en is de malware betrokken geweest bij het stelen van grote bedragen van financiële instellingen. Geïnfecteerde gebruikers krijgen dan ook het advies om alle inloggegevens meteen te wijzigen. De malware dankt zijn succes aan het gebruik van de inloggegevens van de domain administrator, die het weet te stelen. Zodra het domain adminrechten heeft, gebruikt het de psexec tool van Sysinternals, onderdeel van Microsoft, om zich naar alle computers binnen het domein te kopiëren. Daarnaast kan het zich ook via draagbare schijven verspreiden. Clampi fungeert verder als proxy server voor de criminelen als ze met de gestolen gegevens inloggen. Een autobedrijf raakte begin deze maand 75.000 dollar door het Trojaanse paard kwijt.
Bescherming
De meeste anti-virusbedrijven zouden Clampi inmiddels herkennen, toch kan het met nieuwe varianten even duren voordat dit het geval is. Vanwege het gevaar van de Trojan, krijgen bedrijven het advies om internetbankieren en financiële transacties via een apart en geïsoleerd werkstation te doen. Het beveiligingsbedrijf raadt consumenten aan om een aparte computer voor online bankieren en het betalen van rekeningen te gebruiken. "Ze moeten die computer niet gebruiken om mee te surfen of te e-mailen, aangezien web exploits en kwaadaardige e-mail de twee belangrijkste infectiebronnen zijn."
Bron: security.nl