Bancaire malware wordt geniepiger, beveiligingsbedrijven waarschuwen

Financiële malware-auteurs proberen nieuwe online bankbeveiligingssystemen te omzeilen door terug te keren naar meer traditionele phishing-achtige technieken voor diefstal van inloggegevens, aldus onderzoekers van beveiligingsbedrijf Trusteer.

Meest financiële trojan programma's die vandaag door cybercriminelen worden gebruikt, kunnen in realtime knoeien met online bankessessies die door slachtoffers op hun computer worden geïnitieerd. Dit omvat de mogelijkheid om frauduleuze transacties op de achtergrond uit te voeren en deze voor de gebruiker te verbergen door het accountsaldo en de weergave van de transactiegeschiedenis in hun browser aan te passen. Als gevolg daarvan zijn banken begonnen met het implementeren van systemen om te controleren hoe klanten omgaan met hun websites en afwijkingen detecteren die mogelijk wijzen op malwareactiviteit. Het lijkt echter dat sommige makers van malware terugkeren naar meer traditionele technieken waarbij het gaat om het stelen van inloggegevens en het gebruiken van een andere computer om te voorkomen dat ze worden gedetecteerd.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Vertrouwde Trojaanse paarden, nieuwe techniek

Onderzoekers van Trusteer hebben onlangs veranderingen ontdekt in de financiële Trojan-programma's van Tinba en Tilon die zijn ontworpen om te voorkomen dat slachtoffers toegang krijgen tot de echte websites voor online bankieren en hun inlogpagina's te vervangen door bedrieglijke versies. de klant krijgt toegang tot de website van de bank, de malware presenteert een volledig nep-webpagina die lijkt op de inlogpagina van de bank ", zei Trustiters chief technology officer Amit Klein donderdag in een blogpost. "Zodra de klant zijn inloggegevens op de neppagina invoert, geeft de malware een foutmelding dat de online bankdienst momenteel niet beschikbaar is.In de tussentijd stuurt de malware de gestolen inloggegevens naar de fraudeur die vervolgens een geheel andere machine gebruikt. log in op de bank als klant en voer frauduleuze transacties uit. "

Als de bank multi-factor authenticatie gebruikt waarvoor eenmalige wachtwoorden (OTP's) vereist zijn, vraagt ​​de malware deze informatie ook op de nep-pagina.

Dit type legitimatiediefstal is vergelijkbaar met traditionele phishing-aanvallen, maar het is moeilijker te detecteren omdat de URL in de adresbalk van de browser die van de echte website is en geen valse.

"Het is niet zo geavanceerd als het injecteren van transacties in web banking-sessies in real time, maar het volbrengt zijn doel om detectie te omzeilen, "zei Klein.

Deze functie" volledige paginavervanging "is aanwezig in Tinba versie 2, die Trusteer-onderzoekers recent hebben y ontdekt en geanalyseerd. De malware wordt geleverd met ondersteuning voor Google Chrome en probeert het netwerkverkeer te beperken door lokaal geladen afbeeldingen op de neppagina te bewaren.

Al in gebruik

Volgens de Trusteer-onderzoekers wordt Tinba v2 al gebruikt bij aanvallen op grote financiële instellingen. instellingen en consumentenwebdiensten.

"Banken hebben altijd te maken gehad met twee aanvalsvectoren op het online kanaal," zei Klein. "De eerste is diefstal van inloggegevens Er zijn verschillende manieren om dit type aanval uit te voeren, waaronder malware, pharming en phishing." De tweede aanvalsvector is session-kaping die wordt bereikt door malware. Deze twee vectoren vereisen twee verschillende oplossingen. "

Banken moet ervoor zorgen dat ze bescherming hebben tegen beide aanvalstypes, anders zullen cybercriminelen hun technieken snel aanpassen, zei Klein. "Je kunt je deur niet op slot doen en het raam open laten."