CSIS har i løbet af de seneste måneder haft malware familien "Shylock" under tæt monitorering. I forgårs blev en ny opdatering skubbet ud via bandens centrale C&C (Command & Control) server. Denne indeholder en funktion der gør det muligt for denne netbank tyv at sprede sig til ofre via Skype.
Det nye modul/plugin til Shylock hedder "msg.gsm" og skubbes ud via en opdateringsfunktion. Alle inficerede maskiner vil automatisk modtage dette plugin/modul som gør det muligt at sende chat beskeder indeholdende links fra en inficeret maskine til dennes Skype kontakter og generelt monitorere og manipulere med Skype. Et udsnit af koden, som skubbes ud fra Shylocks centrale C&Cs, findes herunder:
Shylock er særligt sofistikeret idet den målrettet går efter SMB (Små og mellemstore virksomheder) markedet. Den forsøger at lave realtids MiTM (Man in The Middle) angreb når ofret gennemfører netbank transaktioner. Den er primært fokuseret på det engelske marked, men også andre lande, udenfor England, er plaget af denne malware. Vi har udarbejdet et landkort der viser hvor Shylock inficerede maskiner befinder sig.
Generelt er det vores vurdering, at der med Microsofts migration af brugere fra MSN til Skype, vil ske en stigning i malware som vil forsøge at misbruge Skype som kanal for yderligere replikation. Der er masser af muligheder for at gøre det, og bl.a. chat funktionen i det populære VoIP system, er en oplagt mulighed.
Shylock angriber på nuværende tidspunkt ikke mål i Danmark men vi følger denne trussel tæt.
Antivirus detektion er lav, men CSIS beskytter både via Secure DNS og Heimdal PRO og corporate.
↧
CSIS Blog: Netbank tyv kan snakke Skype
↧