Sinds vorig jaar vindt er een gerichte malware-aanval tegen Nederlandse en Duitse bankklanten plaats, waarbij verschillende Nederlandse banken het doelwit zijn. Dat meldt beveiligingsbedrijf Arbor Networks. De aanvallen worden uitgevoerd via de Citadel-malware en GameOver Zeus Trojan.

Dit zijn twee banking Trojans, specifiek ontwikkeld om geld van online bankrekeningen te stelen. In dit geval zijn de malware-exemplaren aangepast om klanten van 14 financiële instellingen in Nederland en Duitsland aan te vallen. Naast SNS Reaal, ING, ICScards, SNS Bank en ABN Amro komt ook de website van de minder bekende RegioBank terug in het overzicht. Deze bank is onderdeel van SNS REAAL.

Webinject

Zodra klanten van deze banken de banksite op een besmette computer bezoeken, wordt een zogeheten webinject uitgevoerd. Informatie van de transactie of banksessie kan dan worden aangepast. Zo is het mogelijk om een aanvullend venster of veld te injecteren dat om een pincode of nogmaals om een autorisatiecode vraagt. Deze gegevens kunnen de criminelen vervolgens gebruiken om een frauduleuze transactie uit te voeren.

De aanval via de Citadel-malware zou halverwege vorig jaar zijn begonnen, nadat Microsoft een grote actie tegen deze malware had aangekondigd. Daarbij werden honderden Citadel-botnets uit de lucht gehaald, maar dit botnet wist te ontsnappen merken de analisten van Arbor Networks op. Uiteindelijk liep de campagne eind 2013 op zijn einde, waarna de criminelen besloten om de GameOver Zeus Trojan te gebruiken.

Net als bij Citadel voerde Microsoft onlangs nog een grote operatie tegen deze malware uit. Wederom lijkt het erop dat de criminelen achter het botnet de dans wisten te ontspringen. De malware zou namelijk nog steeds inloggegevens op besmette computers stelen en doorsturen naar de dropsite, aldus de analisten. Er wordt niet gemeld hoe de malware zich verspreidt, maar in de meeste gevallen gebeurt dat via drive-by downloads en e-mailbijlagen.