Na bardzo interesujący dokument natrafiłem jakiś czas temu. Jest to raport chyba pierwszy tego typu i na taką skalę opisujący analizę danych zebranych z miejsc zrzutu, informacji zbieranych przez złośliwe oprogramowanie (dropzones)! Przez 7 miesięcy (kwiecień-październik 2008) naukowcy z Uniwersytetu w Mannheim uzyskali ponad 70 takich miejsc, z których udało im się pobrać składowane informacje (łącznie odkryli ponad 345 stref dropzone). Uzyskali 33 GB danych z ponad 173 000 przejętych maszyn. Ponad 10 700 danych uwierzytelniających do kont bankowych i ponad 149 000 kont pocztowych. Maksymalny czas zarażenie trojanem Limbo wynosił dla jednej ofiary 111 dni, a średnia ilość dni przechowywania w jednym miejscu ukradzionych danych dochodziła do 61. W przypadku trojana ZeuS najwięcej było ofiar z zainstalowanym systemem Windows XP z dodatkiem Service Pack 2 ale bez pozostałych aktualizacji. Przeglądając 25 unikalnych danych do kont bankowych mogli uzyskać dostęp na kwotę ponad 130 000 dolarów. Uwzględniajac fakt, że uzyskali informacji o ponad 10 700 kontach, a średnia wartość na sprawdzonych 25 kontach wyniosła 5 225 dolarów – łatwo zorientować się, że łączna kwota ukradzionych pieniędzy będzie oscylowała w dziesiątkach milionów dolarów. Odkryli także 5 682 informacje dotyczące numerów kart kredytowych. Przy średniej 298 dolarów na koncie takiej karty wyliczyli, że uzyskali dostęp do mniej więcej 1.7 miliona dolarów. Jeśli chodzi o polskie akcenty to w 7 105 danych dotyczących serwisów aukcyjnych na trzecim miejscu znalazły się dane z Allegro.pl z ilością 885 przejętych kont. Te dane w zasadzie pokazują ogrom problemu związanego z cyberprzestępcami i liczbą okradanych użytkowników…
Metoda działania polegała na tym iż napisali narzędzie, które udawało zachowanie użytkownika, którego system zarażali złośliwym oprogramowaniem. Wirtualny SimUżytkownik wpisywał dane do różnych serwisów e-mailowych, bankowych itp. Następnie analizowane były dane przesyłane przez trojana z naciskiem na miejsce przechowywania danych. Przetestowali w ten sposób ponad 2 000 próbek podsłuchujących klawiaturę. Głównie skoncentrowali się na trojanach z rodziny Limbo/Nethell oraz ZeuS/Zbot/Wsnpoem. Na koniec przekazali uzyskane dane do organizacji CERT w Austrii aby Ci mogli we współpracy z bankami zmniejszyć możliwy impakt przy wykorzystaniu tych danych przez cyberprzestępców.