image

Malware steelt bankwachtwoord door verkeer te sniffen

maandag 30 juni 2014, 11:05 door Redactie, 7 reacties

Onderzoekers hebben een Trojaans paard ontdekt dat het netwerkverkeer 'snift' om inloggegevens voor internetbankieren te stelen. De Emotet-malware verspreidt zich via e-mail en lijkt zich vooral op Duitse internetgebruikers en banken te richten, hoewel ook andere banken kunnen worden aangevallen.

Eenmaal actief op de computer downloadt Emotet een DLL-bestand dat in alle processen wordt geinjecteerd en verantwoordelijk is voor het onderscheppen en loggen van het uitgaande netwerkverkeer. Zodra het bestand in een browser wordt geïnjecteerd worden bezochte websites bijgehouden. Als de gebruiker vervolgens een banksite bezoekt die de malware herkent wordt het netwerkverkeer opgeslagen.

Daarbij kan Emotet ook verkeer "sniffen" dat over beveiligde verbindingen wordt verstuurd, aangezien dit lokaal via het DLL-bestand gebeurt. Volgens anti-virusbedrijf Trend Micro dat de malware beschrijft is deze manier van gegevens stelen opmerkelijk, aangezien de meeste Trojaanse paarden voor internetbankieren vaak "web injects" gebruiken.

Daarbij wordt er een aanvullend venster of veld op de bankpagina geïnjecteerd dat om een pincode of nogmaals om een autorisatiecode vraagt. Deze gegevens kunnen de criminelen vervolgens gebruiken om een frauduleuze transactie uit te voeren. Het gebruik van netwerksniffing maakt het echter veel lastiger voor gebruikers om de verdachte activiteit te ontdekken, aangezien de veranderingen niet zichtbaar zijn.

Aangezien Emotet zich via e-mail verspreidt krijgen internetgebruikers het advies om geen links te openen en bestanden te downloaden die niet gecontroleerd zijn. In het geval van financiële zaken kunnen gebruikers beter eerst de bank bellen om een e-mail te verifiëren voordat men verdergaat, aldus de virusbestrijder

Image

Reacties (7)
30-06-2014, 13:27 door [Account Verwijderd]
[Verwijderd]
30-06-2014, 13:34 door Anoniem
Ik kan mij even niks voorstellen bij het injecteren van een DLL in alle processen.

Past de malware niet gewoon een generiek DLL'tje aan in de system32 map die door alle processen wordt gebruikt?

Offtopic:
Weet iemand goede boeken/artikelen/ebooks e.d. over de interne werking van Windows, ik zelf heb alleen ervaring met Linux.
30-06-2014, 13:46 door Anoniem
DLLs listed under the registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs will be loaded into every process that links to User32.dll when that DLL attaches itself to the process.[5][7][8][9] Beginning with Windows Vista, AppInit_DLLs are disabled by default.[10] Beginning with Windows 7, the AppInit_DLL infrastructure supports code signing.
30-06-2014, 14:05 door Anoniem
Door Anoniem: Ik kan mij even niks voorstellen bij het injecteren van een DLL in alle processen.

Past de malware niet gewoon een generiek DLL'tje aan in de system32 map die door alle processen wordt gebruikt?

Offtopic:
Weet iemand goede boeken/artikelen/ebooks e.d. over de interne werking van Windows, ik zelf heb alleen ervaring met Linux.

Windows internals is een goed boek over de innerlijke werking van windows
30-06-2014, 15:31 door Anoniem
Door Anoniem: Ik kan mij even niks voorstellen bij het injecteren van een DLL in alle processen.
https://en.wikipedia.org/wiki/DLL_injection
30-06-2014, 16:13 door Anoniem
Dit werkt uiteraard alleen in browsers zoals Internet Explorer die daadwerkelijk gebruik maken van de encryptie
faciliteiten van het operating system. Die sturen dus hun data unencrypted naar het netwerk en het wordt gecrypt
door Windows services.

Firefox gebruikt dit mechanisme helemaal niet, die encrypt zelf het verkeer en stuurt het dan pas naar het netwerk.
Dan kan het dus ook niet op deze manier fout gaan.
30-06-2014, 21:24 door Anoniem
Door Anoniem: Dit werkt uiteraard alleen in browsers zoals Internet Explorer die daadwerkelijk gebruik maken van de encryptie faciliteiten van het operating system. Die sturen dus hun data unencrypted naar het netwerk en het wordt gecrypt
door Windows services.

Firefox gebruikt dit mechanisme helemaal niet, die encrypt zelf het verkeer en stuurt het dan pas naar het netwerk.
Dan kan het dus ook niet op deze manier fout gaan.

Dat is onzin, de meest banking trojans kunnen ook SSL verkeer in Firefox (en zelfs in Chrome en Opera) onderscheppen.

Rasheed
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.