Nasty Banking Trojan gjør muller of victims

Først avdekket av Finjan Software i forrige uke, er URLzone Trojan allerede kjent for å være svært avansert. Det omskriver bankssider slik at ofrene ikke vet at deres kontoer har blitt tømt, og det har også et sofistikert kommando- og kontrollgrensesnitt som gjør det mulig for de onde å angi hvilken prosentandel av kontosaldoen de vil rydde ut.

Men Finjan er ikke det eneste selskapet som ser på URLzone. RSA Sikkerhetsforskere sier at programvaren bruker flere teknikker for å kartlegge maskiner som drives av etterforskere og rettshåndhevelse. Forskere lager vanligvis egne programmer som er utformet for å etterligne virkelige trojans oppførsel. Når URL-sonen identifiserer en av disse, sender den den falske informasjonen, ifølge Aviv Raff, RSAs FraudAction-undersøkelseslabbehandler.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Sikkerhetseksperter har lenge publisert forskning på Den indre virkningen av ondsinnede dataprogrammer som URL-område, sa Raff. "Nå vet den andre siden at de blir overvåket og de handler," sa han.

Når URL-sonen plukker et forskerprogram, istedenfor bare å koble fra forskerens datamaskin, forteller serveren at den skal gjøre en pengeoverføring. Men i stedet for å overføre pengene til en av kriminals pengemumler - folk som har blitt rekruttert til å flytte kontanter i utlandet - det velger et uskyldig offer. Vanligvis er det folk som har mottatt legitime pengeoverføringer fra andre hackede datamaskiner på nettverket, sier Raff.

Så langt har mer enn 400 legitime kontoer blitt brukt på denne måten, sier RSA.

Tanken er å forvirre forskere og for å hindre at kriminelle ekte penger møller oppdages.

Banktrojanske som Zeus og Clampi har tømt kontoer i mange år, men Finjan kaller URLzone den første av en ny, smartere generasjon av crimeware.

Ifølge Finjan infiserte URLzone om 6400 datamaskinbrukere i forrige måned og klarte å betale € 12.000 (USD 17.500) per dag.