Nagyüzemben folyik a facebookos adatlopás

A Ramnit trójai már 2010-ben is jelen volt az interneten, azonban az igazi hódító újtára tavaly indult. Oly annyira, hogy a Symantec 2011 júniusára és júliusára vonatkozó jelentésében az egyik legfertőzőbb és legtöbb problémát okozó kártékony programként említette a trójait. A számítógépes károkozó eddig számos variáns formájában jelent meg, ugyanakkor mindegyik változatát elsősorban a fejlett adatlopási képességek jellemezték. A trójai készítői a legtöbb esetben kifejezetten a közösségépítő oldalakat szemelték ki maguknak, és gyakran a Facebook felhasználóinak bizalmas adatait vették célba. A Seculert biztonsági cég kutatói szerint sajnos nem is sikertelenül.

A Seculert szakértői az elmúlt időszakban alaposan tanulmányozták a Ramnit legújabb variánsainak működését. A vizsgálataik során egy olyan kiszolgálót sikerült feltérképezniük, amely részt vett a Ramnit távoli vezérlésében, illetve az adatgyűjtésben. A szakemberek a szerveren 45 ezer Facebook felhasználóhoz tartozó adatot találtak, amelyek között felhasználónevek és jelszavak is voltak. Az eddigi elemzések arra világítottak rá, hogy ez a kiszolgáló elsősorban azon Ramnit példányok által gyűjtött adatokat tárolta, amelyek korábban elsősorban német és francia felhasználók számítógépeit fertőzték meg.

Mi motiválja a csalókat?

A Seculert kutatói azonban úgy vélik, hogy nem ezek a legfontosabb motiváló tényezők. A trójai mögött álló csoport vagy csoportok ugyanis nagy hangsúlyt fektetnek a károkozójuk terjesztésére. Így a begyűjtött Facebook adatokat arra használják fel, hogy az áldozatul esett felhasználók nevében bejelentkezve olyan üzeneteket, hivatkozásokat helyezzenek el, amelyek más felhasználók megtévesztésével további számítógépek megfertőzésére adhatnak lehetőséget. Minden bizonnyal mindehhez automatizált eszközök is a rendelkezésükre állnak.

"Azt látjuk, hogy egyre meghatározóbbá válik az a trend, ami szerint a vírusírók a kártékony kódjaikat a közösségi hálók révén terjesztik, és mind inkább elfordulnak az elektronikus levelekben történő vírusterjesztéstől" - mondta Aviv Raff, a Seculert műszaki igazgatója.

Nemcsak közösségépítés

Fontos megjegyezni, hogy már tavaly is voltak jelei annak, hogy a Ramnit nemcsak a közösségi oldalakról próbál bizalmas adatokat szerezni. A Trusteer 2011 augusztusában jelezte, hogy a Ramnitnak léteznek olyan variánsai, amelyek banki információk eltulajdonítására specializálódtak, és számos funkciójukat tekintve nagyon hasonlítanak a hírhedt Zeus és SpyEye trójaiakra. Így például képesek manipulálni a webböngészőkben megjelenő egyes banki weboldalakat.