Trojaans paard verbergt communicatie via I2P

[Captain Kirk]

De makers van een Trojaans paard dat speciaal is ontwikkeld om geld van bankrekeningen te stelen hebben een nieuwe variant uitgebracht die I2P gebruikt om met besmette computers te communiceren. I2P staat voor Invisible Internet Project (I2P) en is een netwerklaag waardoor applicaties berichten veilig en pseudo-anoniem met elkaar kunnen uitwisselen.

Volgens beveiligingsbedrijf PhishMe dat de nieuwe variant ontdekte kan I2P worden gezien als een "veiligere versie van Tor". Zo is de ware DNS-bestemming standaard afgeschermd en beschikt het over peer-to-peer-eigenschappen, waarbij elke IP2-node als exitnode kan fungeren. Bij het Tor-netwerk moeten servers specifiek als exitnode worden ingesteld.

In het geval van de Dyre banking Trojan, ook bekend als Dyreza, biedt I2P de aanvallers een apart communicatiekanaal wat lastig te analyseren en te detecteren is. Toch staan beheerders niet machteloos zegt analist Ronnie Tokazowski. Het is namelijk mogelijk om I2P op het top-level domein (.i2p) af te vangen en daarmee de verspreiding te stoppen en eventueel IP2-verkeer van het netwerk onschadelijk te maken.

 

bron: security.nl