3o4o.net

An attack by a single Trojan variant compromises thousands, circumvents SSL, and uploads the results to a Russian dropzone server. A unique blow-by-blow analysis reveals evidence of cooperation between groups of malware specialists acting as service providers and points to the future of malware's growing underground economy.

http://www.secureworks.com/research/threats/gozi/

Russian malware authors are finding new ways to steal and profit from data which used to be considered safe from thieves because it was encrypted using SSL/TLS. Originally, this analysis intended to provide insight into the mechanisms used to steal that data, but it became an investigation into the growing trend of malware sold not as a product, but as a service. Eventually it lead to an alarming find and resulted in an active law enforcement investigation.

Highlights

A single attack by a single variant compromises more than 5200 hosts and 10,000 user accounts on hundreds of sites.

* Steals SSL data using advanced Winsock2 functionality
* State-of-the-art, modularized trojan code
* Spread through IE browser exploits
* Undetected for weeks, months by many AV vendors
* Customized server/database code to collect sensitive data
* Customer interface for on-line purchases of stolen data
* Accounts compromised by stealing data primarily from infected home PCs
* Accounts at top financial, retail, health care, and government services affected
* Data's black market value at least $2 million

There are two other known variants. New variants, similar attacks inevitable.

Затова най-добре да си ходиш в банката и да си попълваш хартийки

А тоз троянец справя ли се с цифровите сертификати без които не мож се логна в банкирането?

краде данните от тях при криптирани връзки, нещо, което се смяташе за доволно сигурно (статията описва подробно извличане на пароли и др. данни от криптирани връзки, вероятно става дума за кийлогъри или нещо подобно). Най-вече е пробит експлодера. А след като е на машината ти, може би има механизъм и да експортне сертификат и да го прати на пиратския сървър. Моята лична практика е да съм в режим "висока сигурност" и винаги да пиша парола, за да използвам сертификатите си. Както и редовно да я сменям. Така ако нещо се опита да използва сертификата ми без мое знание ще ми е ясно, че има нещо гнило. Освен това линукс и лисица не са му тарджът оудиенса на този последовател на Одисей.

Remmivs написа:краде данните от тях при криптирани връзки, нещо, което се смяташе за доволно сигурно (статията описва подробно извличане на пароли и др. данни от криптирани връзки, вероятно става дума за кийлогъри или нещо подобно). Най-вече е пробит експлодера. А след като е на машината ти, може би има механизъм и да експортне сертификат и да го прати на пиратския сървър. Моята лична практика е да съм в режим "висока сигурност" и винаги да пиша парола, за да използвам сертификатите си. Както и редовно да я сменям. Така ако нещо се опита да използва сертификата ми без мое знание ще ми е ясно, че има нещо гнило. Освен това линукс и лисица не са му тарджът оудиенса на този последовател на Одисей.

Да, прав си, сертификатите само с парола.
Ама пак нищо сигурно няма, баси.
Добре че банкинга го правя с лисицата, ама там пък има понякога проблеми точно със сертификатите щото сайта на банката е правен за експлорър :)

Wishes написа:Да, прав си, сертификатите само с парола.
Ама пак нищо сигурно няма, баси.
Добре че банкинга го правя с лисицата, ама там пък има понякога проблеми точно със сертификатите щото сайта на банката е правен за експлорър :)

Пълни кретеноиди, да ме прощават тукашните другарчета, които винаги са извън общия кюп, са тези по банките с тези експлодъри. Но ги разбирам защо го правят де. Повечето маймуни ползват това. Те самите също. А че това означава, че трябва да си купиш виндозе, вместо да ползваш друга ОС - големо важно. Нали в БГ повечето боза е крадната. Ама ако не беше? Добре че поне електронното правителство го оправиха. Не че съм ходил скоро там де.

Сигурни са само смърта и данъците, друже.