Hackers hebben vorig jaar 36 domeinnamen van een Braziliaanse bank weten te kapen en hun controle vervolgens gebruikt om malware via de officiële domeinnaam te verspreiden. De aanval kwam aan het licht toen de banksite aan alle bezoekers een Java-bestand in een zip-bestand aanbood.

Het bleek om malware te gaan. Verder onderzoek wees uit dat alle 36 domeinnamen van de bank in handen van de aanvallers waren. Die hadden daardoor toegang tot zakelijke e-mail en konden verkeer van de bank naar hun eigen servers doorsturen. Gebruikers kwamen zodoende uit op een phishingsite. Naast het aanbieden van malware werden de bankdomeinen ook gebruikt om phishingsites te hosten en klanten op deze manier om kaartgegevens te vragen. Om op de phishingsites toch een geldig certificaat te tonen hadden de aanvallers bij de gratis ssl-dienst Let's Encrypt een certificaat geregistreerd.

Doordat de aanvallers toegang tot mailinfrastructuur hadden en die vervolgens uitschakelden kon de bank de 5 miljoen klanten die het heeft niet waarschuwen, zo melden onderzoekers van het Russische anti-virusbedrijf Kaspersky Lab. Volgens de onderzoekers laat de aanval zien hoe belangrijk het is om tweefactorauthenticatie te gebruiken. De meeste registrars bieden een dergelijke beveiligingsoptie aan, maar de meeste klanten maken hier geen gebruik van, waaronder de bank in kwestie. Om welke bank het gaat is niet bekendgemaakt, behalve dat de bank voor 25 miljard dollar aan middelen heeft.