Ερευνητές από την Trusteer, μια εταιρεία ασφαλείας IT που αποκτήθηκε πρόσφατα από την IBM, ανακάλυψαν μια νέα παραλλαγή του περιβόητου malware Ramnit.
Το νέο μεταλλαγμένο malware έχει χρησιμοποιηθεί για να κλέψει ευαίσθητα δεδομένα από τους χρήστες του Steam.
Σύμφωνα με τους ειδικούς, το Ramnit μπορεί να εκτελέσει HTML injections για να επιτύχει τους στόχους του.
Το κακόβουλο λογισμικό είναι σε θέση όχι μόνο να παρακάμπτει την κρυπτογράφηση των κωδικών πρόσβασης μια ιστοσελίδας,
.. αλλά και να διασφαλίζει ότι η επίθεση δεν έχει εντοπιστεί ιδιοκτήτη του server.
Στην πρώτη φάση της επίθεσης, το Ramnit κάνει injection ένα αίτημα που έχει σαν στόχο τον κωδικό πρόσβασης.
Όταν ο ιδιοκτήτης της σελίδας εισάγει τον κωδικό του το injection επιτρέπει στο malware να παρακάμπτει την κρυπτογράφηση του client-side και να “πιάνει” τον κωδικό πρόσβασης σε μορφή απλού κειμένου.
Το πρόβλημα με αυτήν την τεχνική είναι ότι ο κωδικός πρόσβασης καταγράφεται σε ένα νέο αρχείο με το όνομα “pwd2.”
Δεδομένου ότι ο διακομιστής Steam δεν περιμένει να λάβει τέτοιου είδους αρχεία όταν υποβληθεί μια φόρμα πρόσβασης,
.. είναι πιθανό θα ενεργοποιηθεί κάποιος συναγερμός και η κακόβουλη προσπάθεια θα μπορεί να ανιχνευθεί.
Για να αποφευχθεί αυτό, το Ramnit έχει σχεδιαστεί για μπορεί να σβήνει το αρχείο πριν φτάσει στην ιστοσελίδα.
“Χρησιμοποιώντας αυτόν τον τρόπο υποκλοπής, οι hackers μπορούν πολύ εύκολα να επεξεργαστούν τα δεδομένα που συλλέγονται.
Σε περίπτωση χρησιμοποίησης ενός key-logger, δεν υπάρχει καμία ένδειξη ποιοι από τους χαρακτήρες που έχουν πληκτρολογηθεί
.. ανήκουν στο όνομα χρήστη και ποιοι στον κωδικό πρόσβασης” αναφέρει ο Etay Maor της Trusteer.
Δεν υπάρχουν σχόλια :
Δημοσίευση σχολίου