image

Malware installeert vals SSL-certificaat voor bankfraude

vrijdag 25 juli 2014, 17:30 door Redactie, 3 reacties

Onderzoekers hebben malware ontdekt die op besmette Windowscomputers een vals root SSL-certificaat installeert, zodat gebruikers geen waarschuwing krijgen als ze een nagemaakte versie van hun banksite bezoeken. De criminelen proberen op deze manier gegevens te stelen om bankfraude te plegen.

De aanval, die tegen banken in Zweden, Oostenrijk, Zwitserland en Japan is gericht, begint met een kwaadaardige e-mail. Het bericht is bijvoorbeeld afkomstig van een bekende webwinkel in Duitsland en Zwitserland en bevat een RTF-document. Dit document bevat weer een ingebed CPL-bestand. Als de gebruiker dit ingebedde bestand wil openen verschijnt er een beveiligingswaarschuwing.

Opent de gebruiker het bestand ondanks de waarschuwing toch, dan wordt er weer een ander bestand gedownload, dat zich als een Windows Update tool voordoet. Wederom verschijnt er een pop-up, dit keer van User Account Control, die om toestemming voor de installatie vraagt. Wordt de toestemming wederom verleend, dan installeert de malware zich. Eenmaal actief wijzigt de malware de DNS-instellingen.

Hierdoor worden gebruikers naar een ander IP-adres gestuurd als ze hun banksite willen bezoeken. De tweede actie van de malware is het installeren van een vals root SSL-certificaat. Dit zorgt ervoor dat als gebruikers hun banksite willen bezoeken en naar een ander IP-adres worden doorgestuurd, ze toch HTTPS zien staan zonder dat de browser een waarschuwing geeft dat het om een vals SSL-certificaat gaatt. Als laatste verwijdert de malware zichzelf om geen sporen achter te laten.

Android-malware

Zodra gebruikers na de infectie hun banksite bezoeken komen ze in werkelijkheid op een kwaadaardige kopie uit. De nepsite probeert gebruikers vervolgens een Android-app te laten downloaden. Normaliter ontvangen gebruikers als ze inloggen een code op hun telefoon. Het inlogverzoek vindt echter op de nepsite plaats, die het verzoek niet naar de echte banksite doorstuurt, waardoor de bank de sms niet verstuurt.

Vervolgens krijgen gebruikers een bericht te zien dat als ze het sms-bericht niet hebben ontvangen, ze een Android-app moeten installeren. Zodra de app, die zich voordoet als een wachtwoordgenerator van de bank, is geïnstalleerd worden alle inkomende sms-berichten van de bank onderschept. Door de combinatie van de nepsite en Android-malware beschikken de criminelen over alle informatie om een frauduleuze transactie te verrichten.

Hoeveel internetgebruikers met de malware besmet zijn geraakt en vervolgens de Android-malware op hun telefoon installeerden is onbekend. Dat geldt ook voor het aantal banken dat de malware op de korrel neemt. Volgens Trend Micro, dat de aanval ontdekte, wordt de malware actief zodra gebruikers één van 34 geselecteerde bankdomeinen bezoeken. Een bank kan echter meerdere domeinen gebruiken.

Reacties (3)
27-07-2014, 11:01 door Eric-Jan H te D
En daarom gebruik "normal user" accounts voor mensen die geen notie hebben van computers.
En geef ze niet het administrator wachtwoord. Want laten we wel wezen als een bijgevoegd
document al dit soort handelingen van een gebruiker vraagt. En als deze gebruiker dan klakkeloos
de gevraagde handelingen verricht. Dan kun je toch wel van een volledige afwezigheid van
computerkennis spreken.
28-07-2014, 10:32 door M_iky
En hoe kan een gebruiker de SSL cert. controleren en werken met een soort whitelist/blacklist? Er is hierover zeer weinig info te vinden.
28-07-2014, 12:59 door Anoniem
Trend Micro heeft de laatste tijd een groot aantal "blunders" gemaakt met dit soort meldingen. Voordat de malware op de Android actief wordt (als dat al door de lokale controle van Google komt), krijgen de gebruikers al stapels waarschuwingen en moeten ze ook nog ergens diep in de configuratie de setting omzetten die installatie van APK's van buiten de Play Store om, toestaat.

Trend Micro heeft hun (andere) claims al in moeten trekken.

Peter
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.