Cybercriminelen gaan voor all-in-one malware

In de toekomst wordt van multi-inzetbare malware als 'Soraya' bovendien verwacht dat het in staat zal zijn inloggegevens van FTP-servers te ontvreemden, zo zeggen onderzoekers van het Arbor Networks Security Engineering and Response Team (ASERT).

Soraya betekent 'rijk' in het Iraans en is een opvallend stukje malware omdat het met zoveel mogelijk functionaliteit wordt uitgerust. "Het is een soort all-in-one pakket voor malwareschrijvers", zegt analist Matthew Bing van ASERT.

Eind mei sloegen beveiligers ook alarm voor de kersverse banking trojan 'Zberp' die alle slechte eigenschappen van de beruchte trojans Zeus en Carberp combineert en zich achter een Apple-logo verschuilt.

Soraya is in staat om point-of-sale (POS) systemen te hacken en de gegevens van bankpassen door te sturen zodat deze door de lezer bij de kassa worden gehaald. Ook maakt het gebruik van het Luhn-algoritme waarmee van creditcardcardnummers kan worden gecheckt. "Vroeger grepen RAM-scrapers iedere 16-bit lange string, maar Soraya is veel geavanceerder", stelt Bing.
 

Manusje van alles

Bovendien kan Soraya data vanuit webformulieren stelen op dezelfde manier als de bekende Zeus-malware dat doet. Opgevangen data wordt doorgestuurd naar servers. Soraya werkt daarin net als bekende andere malware met zogenaamde command-and-control (C&C) servers.

Volgens ASERT is Soraya volop in gebruik om op verschillende plekken in de wereld financiële data te ontvreemden. Deze worden vervolgens op criminele fora verhandeld.

Wees alert en zet ICT slim in voor een veilige organisatie. SPEYK helpt je met inzicht in de veiligheid van je organisatie en de evt. stappen naar een veilige werkomgeving. Bel ons 'ns en we praten graag verder over onze passie: ICT.