Cyberbrottslingar i Östeuropa har utvecklat en ny trojan för att stjäla pengar från utländska bankkonton. Trojanen Oddjob är förprogrammerad att slå till mot ett antal banker i USA, Polen och Danmark.

Masken är extra lömsk eftersom den till skillnad från många konventionella trojaner inte kräver att de drabbade är inloggade på sitt bankkonto. I stället slår den till och kidnappar bankkontot genom att stjäla den information som finns i bankdosorna.

Trojanen utnyttjar de uppgifter som används för att identifiera bankanvändare online. Den stjäl koden och genom därefter kan en bedragare via sin webbläsare utge sig för att befinna sig in en legitim banksession, även samtidigt som en bankanvändare är online. Bedragarna kan därmed utföra samma bankoperationer som kontoinnehavaren.

– Programmet gör det möjligt att dela sessioner med offret, så att alla aktiviteter som offret kan se, även blir synliga för bedragaren, säger Amit Klein, som är chefstekniker på säkerhetsföretaget Trusteer, som upptäckte felet, till IDG News

När användaren försöker logga ut, ser trojanen till att sessionen inte avslutas. Det genom att identifiera utloggningsförsöken och se till att de förhindras. En användare som tror att långa svarstider beror på att bankservern är långsam märker inte av processen och stänger sin webbläsare utan att inse att inloggningen är oavslutad.

Enligt Trusteer är Oddjob uppbyggd för att kunna riktas mot andra webbsajter. Den är kapabel att kopiera hem hela sidor av data från användarens webbläsare. Den kan också avsluta uppkopplingar och injicera kod på webbsajter.

Fakta

  • Till skillnad mot många andra trojaner så sparas Oddjob inte på den drabbade användarens hårddisk. I stället läggs en kopia upp hos användaren från en central server varje gång en session öppnas.
  • Förfarandet skiljer sig från traditionella attacker, där den som attackerar använder trojaner för att stjäla inloggningsuppgifter som sedan används för att bryta sig in på ett bankkonto online.
  • Oddjob kan hålla en banksession öppen även efter att användarna tror sig ha loggat ut. Därmed kan brottslingarna flytta pengar och genomföra andra brottsliga aktiviteter, även när användaren har loggat ut och stängt av sin webbläsare.