Een malware-exemplaar dat begin dit jaar werd ontdekt heeft mogelijk in één week tijd 500.000 euro gestolen van zo'n 190 bankklanten in Italië en Turkije. De Luuuk-malware, zoals die door Kaspersky Lab wordt genoemd, voert een man-in-the-browser-aanval op klanten van één specifieke bank uit.

De Luuuk-malware gebruikt webinjects om bankgegevens te stelen, waarbij informatie van de transactie of banksessie kan worden aangepast. Zo is het mogelijk om een aanvullend venster of veld op de bankpagina te injecteren dat om een pincode of nogmaals om een autorisatiecode vraagt. Deze gegevens kunnen de criminelen vervolgens gebruiken om een frauduleuze transactie uit te voeren.

De malware wist op deze manier in real-time wachtwoorden, gebruikersnamen en transactiecodes te stelen. Het geld werd vervolgens naar de rekeningen van katvangers overgemaakt. Opmerkelijk aan de Luuuk-malware is dat er vier soorten groepen katvangers waren. Deze groepen ontvingen verschillende soorten bedragen, waarbij de hoogste groep bedragen tussen de 40.000 en 50.000 euro kon ontvangen.

Schade

Hoeveel geld criminelen via de malware daadwerkelijk hebben buitgemaakt is lastig te zeggen. Op een server waarmee de besmette computers werden aangestuurd vonden onderzoekers een logbestand. In het logbestand stonden de verschillende frauduleus uitgevoerde banktransacties, met een waarde van meer dan 500.000 euro.

Of deze transacties ook succesvol waren en of de banken de transactie uiteindelijk niet hebben ontdekt, geblokkeerd of teruggedraaid is onbekend. Het kan dan ook zijn dat de schade door de Luuuk-malware veel lager is dan uit het logbestand zou blijken. Ook is onbekend hoe de malware zich verspreidt, maar in het algemeen gebruiken dit soort banking Trojans drive-by downloads en besmette e-mailbijlagen.