An attack by a single Trojan variant compromises thousands, circumvents SSL, and uploads the results to a Russian dropzone server. A unique blow-by-blow analysis reveals evidence of cooperation between groups of malware specialists acting as service providers and points to the future of malware's growing underground economy.
http://www.secureworks.com/research/threats/gozi/
Russian malware authors are finding new ways to steal and profit from data which used to be considered safe from thieves because it was encrypted using SSL/TLS. Originally, this analysis intended to provide insight into the mechanisms used to steal that data, but it became an investigation into the growing trend of malware sold not as a product, but as a service. Eventually it lead to an alarming find and resulted in an active law enforcement investigation.
Highlights
A single attack by a single variant compromises more than 5200 hosts and 10,000 user accounts on hundreds of sites.
* Steals SSL data using advanced Winsock2 functionality
* State-of-the-art, modularized trojan code
* Spread through IE browser exploits
* Undetected for weeks, months by many AV vendors
* Customized server/database code to collect sensitive data
* Customer interface for on-line purchases of stolen data
* Accounts compromised by stealing data primarily from infected home PCs
* Accounts at top financial, retail, health care, and government services affected
* Data's black market value at least $2 million
There are two other known variants. New variants, similar attacks inevitable.
Gozi Trojan - внимавайте с онлайн банкирането!!!
Ами всъщност той
краде данните от тях при криптирани връзки, нещо, което се смяташе за доволно сигурно (статията описва подробно извличане на пароли и др. данни от криптирани връзки, вероятно става дума за кийлогъри или нещо подобно). Най-вече е пробит експлодера. А след като е на машината ти, може би има механизъм и да експортне сертификат и да го прати на пиратския сървър. Моята лична практика е да съм в режим "висока сигурност" и винаги да пиша парола, за да използвам сертификатите си. Както и редовно да я сменям. Така ако нещо се опита да използва сертификата ми без мое знание ще ми е ясно, че има нещо гнило. Освен това линукс и лисица не са му тарджът оудиенса на този последовател на Одисей. 
Re: Ами всъщност той
Да, прав си, сертификатите само с парола.Remmivs написа:краде данните от тях при криптирани връзки, нещо, което се смяташе за доволно сигурно (статията описва подробно извличане на пароли и др. данни от криптирани връзки, вероятно става дума за кийлогъри или нещо подобно). Най-вече е пробит експлодера. А след като е на машината ти, може би има механизъм и да експортне сертификат и да го прати на пиратския сървър. Моята лична практика е да съм в режим "висока сигурност" и винаги да пиша парола, за да използвам сертификатите си. Както и редовно да я сменям. Така ако нещо се опита да използва сертификата ми без мое знание ще ми е ясно, че има нещо гнило. Освен това линукс и лисица не са му тарджът оудиенса на този последовател на Одисей.
Ама пак нищо сигурно няма, баси.
Добре че банкинга го правя с лисицата, ама там пък има понякога проблеми точно със сертификатите щото сайта на банката е правен за експлорър :)
If you wish to go fast - go alone, if you wish to go far - go together.
Re: Ами всъщност той
Пълни кретеноиди, да ме прощават тукашните другарчета, които винаги са извън общия кюп, са тези по банките с тези експлодъри. Но ги разбирам защо го правят де. Повечето маймуни ползват това. Те самите също. А че това означава, че трябва да си купиш виндозе, вместо да ползваш друга ОС - големо важно. Нали в БГ повечето боза е крадната. Ама ако не беше? Добре че поне електронното правителство го оправиха. Не че съм ходил скоро там де.Wishes написа:Да, прав си, сертификатите само с парола.
Ама пак нищо сигурно няма, баси.
Добре че банкинга го правя с лисицата, ама там пък има понякога проблеми точно със сертификатите щото сайта на банката е правен за експлорър :)
Сигурни са само смърта и данъците, друже.