image

Nieuwe malware voor internetbankieren ontdekt

woensdag 27 november 2013, 12:23 door Redactie, 10 reacties

Het Russische anti-virusbedrijf Kaspersky Lab waarschuwt voor een nieuw Trojaans paard dat wordt gebruikt voor het leeghalen van online bankrekeningen. De Neverquest banking Trojan werd voor het eerst in juli van dit jaar op een forum voor cybercriminelen aangeboden.

Volgens de ontwikkelaar zou Neverquest in staat zijn om 100 banken aan te vallen, zowel via web-injects als VNC-verbindingen waarmee de criminelen direct toegang tot de computer van het slachtoffer hebben. Web-injects worden gebruikt voor het injecteren van extra velden op de banksite en vragen slachtoffers om allerlei informatie. Halverwege november had Kaspersky Lab al duizenden pogingen tot infectie met Neverquest gedetecteerd.

Inloggegevens

Analist Sergey Golovanov stelt dat het om een relatief nieuwe dreiging gaat en nog niet ten volste door cybercriminelen wordt benut. De nu ontdekte exemplaren zouden in staat zijn om 28 websites van grote internationale banken aan te vallen, onder andere uit Duitsland, Italië, Turkije en India. Als een gebruiker op een besmette computer één van deze sites bezoekt dan onderschept de malware inloggegevens en wijzigt de inhoud van de inlogpagina.

Zodra de inloggegevens zijn bemachtigd, gebruiken de criminelen een SOCKS- en VNC-server om met de besmette computer verbinding te maken en daar vandaan de frauduleuze transacties te verrichten. Het geld wordt vervolgens naar een eigen rekening overgemaakt, of naar de rekening van andere slachtoffers.

Bredolab

Voor het infecteren van internetgebruikers gebruikt Neverquest dezelfde tactiek als de Bredolab-malware. Het Bredolab-botnet werd in 2010 door de Nationale Recherche opgerold. Op besmette computers zoekt Neverquest naar FTP-inloggegevens. Deze gegevens worden vervolgens gebruikt om kwaadaardige code op de betreffende websites van de FTP-accounts te plaatsen. Deze kwaadaardige code infecteert weer ongepatchte internetgebruikers met Neverquest.

Ook verzamelt Neverquest inloggegevens van e-mailclients en sociale netwerksites en diensten. De gegevens van sociale netwerksites lijken nog niet te worden gebruikt, maar de criminelen gebruiken de e-mail-inloggegevens om e-mails met kwaadaardige bijlagen te versturen, die weer de Neverquest-malware bevatten. Analisten van het Russische anti-virusbedrijf verwachten dat naarmate het einde van het jaar nadert er meer Neverqust-aanvallen zullen plaatsvinden.

Reacties (10)
27-11-2013, 12:41 door [Account Verwijderd] - Bijgewerkt: 27-11-2013, 12:48
[Verwijderd]
27-11-2013, 13:04 door Anoniem
Door Peter V.: Maatregelen die je kunt doen:

+ Bankzaken niet meer doen via Windows, maar via LINUX.
+ FTP client gebruiken zonder wachtwoordopslag.
+ FTP client gebruiken op LINUX en niet op Windows.
is het niet makkelijker om gewoon externe toegang tot je windows computer uit te schakelen?
dan hebben ze niets aan VNC. wat SOCKS is weet ik niet.
27-11-2013, 13:25 door Briolet
Door Peter V.: Maatregelen die je kunt doen:.

Of gewoon je systeem up2date houden

Deze kwaadaardige code infecteert weer ongepatchte internetgebruikers met Neverquest.

De meeste malware verspreiders vinden niet zelf die lekken, maar passen reeds bekende lekken toe.
27-11-2013, 16:03 door [Account Verwijderd] - Bijgewerkt: 27-11-2013, 16:03
[Verwijderd]
27-11-2013, 17:20 door GeminiAlpha
Zomaar een vraag.
Waarom komen banken niet met een standalone programma dat bij online gebruik door de bank getest, geupdate en ont-virust cq ont-malwared wordt ipv afhankelijk te zijn van de (al dan niet geïnfecteerde) windows infrastructuur?
Ben overdreven bezig: ik scan en update me suf (minimaal 1x per week) en nog weet ik niet of dat tot verhoging van mijn veiligheid leidt. Ben standaard super selectief met links en bijlagen in Email, gooi liever teveel weg onder het motto: als het echt belangrijk is komt het nog wel 's 'n keer.
Reageer hier eens op.
27-11-2013, 17:48 door Anoniem
Door GeminiAlpha: Zomaar een vraag.
Waarom komen banken niet met een standalone programma dat bij online gebruik door de bank getest, geupdate en ont-virust cq ont-malwared wordt ipv afhankelijk te zijn van de (al dan niet geïnfecteerde) windows infrastructuur?
En waarom zou die software dan géén bugs bevatten? Alle software bevat bugs, dus ook deze software zal bugs bevatten. Komt nog bij dat het berichtenverkeer nog steeds over hetzelfde lijntje gaat en dus malware het bericht kan aanpassen voordat het de SSL laag doorgaat.

En mocht je een bugvrij programma kunnen maken, hoe ga je dat dan installeren op iedere pc, ieder operating system, iedere tablet, iedere smartphone, etc. En dat wereldwijd op ieder device wat ooit verkocht is, want de klant moet altijd en overal kunnen inloggen op zijn bankrekening.

Maar goed, ongebruikelijke betaalopdrachten zijn volgens mij nog steeds te detecteren bij de bank zelf. De bank weet precies wat voor mij normaal is en wat niet normaal is.
27-11-2013, 20:08 door Anoniem
Door Peter V.:
De systemen van mij zijn altijd gepatcht met de laatste updates.
Ja goed idee, maar bedenk wel dat wat vandaag de laatste updates zijn, over 3 weken versie is waar je meteen
updates overheen moet installeen omdat deze kwetsbaar is.

Dwz vandaag is hij ook al kwetsbaar!
27-11-2013, 21:31 door Anoniem
Die externe toegang staat hier al van in het begin af.

Alle dagen gaan er hier alle scans over van de 'beveiligingspacks' (virus/malware ... BitDefender/Emsisoft/Msoft hulpprogramma voor verwijderen van schadelijke software)

Ook enkele aanpassingen in services, dingen die je niet nodig hebt en die 'Phone Home' doen uitzetten.

Als ik mijn PC afsluit (als thuisgebruiker dan wel) zet ik de netwerkverbinding ook uit.
27-11-2013, 21:42 door Anoniem
Er bestaat niet zoiets als een gepatched systeem.Je beseft het wellicht niet hoeveel software je op je pc hebt.Ook al heb je Windows,Adobe Flash Player,Adobe Reader en Java gepatched en je internetbrowsers gepatched,dan komen ze wel binnen via andere al dan niet gepatchte software.Dan kan een computergame zijn,VLC Player,of bijv. Radio Sure,ze vinden een gaatje en komen naar binnen.Vergeet niet de software-vendors zoals Microsoft,Adobe,Java,Google e.a lopen altijd achter de feiten aan,net als de antivirusproviders. De updates/fixes komen altijd als er al (een tijdje) een lek is en zodra het vorige lek gedicht is,hebben de hackers alweer een nader lek gevonden welke pas na een tijdje weer wordt gedicht.
28-11-2013, 12:03 door Anoniem
Door Anoniem: wat SOCKS is weet ik niet.
SOCKS is een geweldig protocol, als je weet waar je mee bezig bent, FTP/UDP proxie (met authenticatie-mogelijkheden) en een tunnel door je firewall natuurlijk ;]
https://en.wikipedia.org/wiki/SOCKS


Door GeminiAlpha: Zomaar een vraag.
Waarom komen banken niet met een standalone programma dat bij online gebruik door de bank getest, geupdate en ont-virust cq ont-malwared wordt ipv afhankelijk te zijn van de (al dan niet geïnfecteerde) windows infrastructuur?
Ben overdreven bezig: ik scan en update me suf (minimaal 1x per week) en nog weet ik niet of dat tot verhoging van mijn veiligheid leidt. Ben standaard super selectief met links en bijlagen in Email, gooi liever teveel weg onder het motto: als het echt belangrijk is komt het nog wel 's 'n keer.
Reageer hier eens op.
Hahahahaha, OK baas! Banken willen juist van de aansprakelijkheid af, fraude is vervelend, maar het is veel goedkoper en vooral veel efficiënter om de klant er voor op te laten draaien.
Scan jij je maar lekker suf dus ;]


Door Anoniem: Er bestaat niet zoiets als een gepatched systeem.Je beseft het wellicht niet hoeveel software je op je pc hebt.Ook al heb je Windows,Adobe Flash Player,Adobe Reader en Java gepatched en je internetbrowsers gepatched,dan komen ze wel binnen via andere al dan niet gepatchte software.Dan kan een computergame zijn,VLC Player,of bijv. Radio Sure,ze vinden een gaatje en komen naar binnen.Vergeet niet de software-vendors zoals Microsoft,Adobe,Java,Google e.a lopen altijd achter de feiten aan,net als de antivirusproviders. De updates/fixes komen altijd als er al (een tijdje) een lek is en zodra het vorige lek gedicht is,hebben de hackers alweer een nader lek gevonden welke pas na een tijdje weer wordt gedicht.
Oh noes! Vrouwen en kinderen eerst! Geen paniek!
Het artikel gaat over malware, niet over hackers. Eindgebruikers zijn helemaal niet interessant voor de super-duper-master-hackers die jij bedoeld. Malware gebruikt geen actuele 0-days, "hackers" zijn meestal script-kiddies. En zelfs deze nieuwe variant gebruikt al langer bekende kwetsbaarheden.
Wat dat betreft zou ik me meer zorgen maken over Apps...

Windows-tip: Secunia PSI
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.