Alsof de recente diefstal van Salesforce.com-inloggegevens nog niet genoeg was, bevindt de Dyre Trojan zich in een nieuwe golf van aanvallen op financiële instellingen en grote ondernemingen door clientcertificaten en browsercookies te stelen. In gevaar: legitieme gebruikers kunnen hun unieke identiteit verliezen aan aanvallers die die gegevens kunnen gebruiken om in te loggen op online accounts alsof ze de rechtmatige eigenaar van die accounts zijn.
Adallom, een softwarebeveiligingsbedrijf, heeft deze stam van de Dyre banking-trojan ontdekt, die ook verantwoordelijk was voor een recente hack van Salesforce-inloggegevens. Na een grondige analyse van de activiteiten van Dyre, concludeerden de beveiligingsonderzoekers van Adallom dat de trojan zich richt op het opzetten van de inlogformulieren van grote banken en bedrijven.
Een paar dagen geleden waarschuwde Salesforce.com zijn klanten voor een zeer waarschijnlijk datalek in hun accounts. De methode die wordt gebruikt om de trojan te verspreiden is zeer bekend, maar velen vinden het misschien moeilijk om ze uit elkaar te houden: spam en phishing-e-mails met links, die zeker een computer zullen infecteren zodra erop wordt geklikt. Een andere methode waarmee hackers hun misdaad plegen, is door een generieke module te laden om POST-gegevens uit een browser te kopiëren en die gegevens naar hun commando- en controleserver te verzenden. Hoewel hackers met deze methode geen code injecteren, kunnen ze de aanvaller grote hoeveelheden tekstgegevens met inloggegevens sturen.
Een aanvaller leidt ook verkeer naar uw server via een man-in-the-middle-aanval voor URL’s die specifiek op hun doellijst staan, en een browser-snapshot-functie maakt diefstal van cookies en clientcertificaten en sleutels mogelijk. Firefox-databases. Een doelbrowser wordt bijvoorbeeld zo gemanoeuvreerd dat de aanvaller vervolgens code in een bepaalde sessie injecteert. Wat nog gevaarlijker is, is dat dit type aanval detectie vermijdt met behulp van het SSL-protocol. Dan zou je niet weten wat je moet doen.
Het is echter een beetje vreemd voor hackers om dergelijke malware-functionaliteit te gebruiken, aangezien klantcertificaten zelden door banken worden gebruikt. Wat betreft de reden waarom aanvallers zich onlangs op Salesforce.com hebben gericht, wijst dit op het feit dat de website bedoeld was als aanvalsvector. Het is echter moeilijk om te weten wat de hackers op de zwarte markt wilden blootleggen door Salesforce.com aan te vallen.
Natuurlijk zijn gegevens zoals e-mail of andere websitediensten voor hen niet van bijzonder belang. In feite hebben de hackers geen inloggegevens ontdekt in een lijst met doelen die ze kunnen aanvallen door bepaalde configuraties te injecteren. Die doelen omvatten de grote Britse banken. Aan de andere kant werd de Salesforce-targetingcode gevonden op een proxyserver die aanvallers gebruiken om websites aan te vallen op basis van onbekende criteria.
