Onderzoekers hebben een Trojaans paard ontdekt dat het netwerkverkeer 'snift' om inloggegevens voor internetbankieren te stelen. De Emotet-malware verspreidt zich via e-mail en lijkt zich vooral op Duitse internetgebruikers en banken te richten, hoewel ook andere banken kunnen worden aangevallen.

Eenmaal actief op de computer downloadt Emotet een DLL-bestand dat in alle processen wordt geinjecteerd en verantwoordelijk is voor het onderscheppen en loggen van het uitgaande netwerkverkeer. Zodra het bestand in een browser wordt geïnjecteerd worden bezochte websites bijgehouden. Als de gebruiker vervolgens een banksite bezoekt die de malware herkent wordt het netwerkverkeer opgeslagen.

Daarbij kan Emotet ook verkeer "sniffen" dat over beveiligde verbindingen wordt verstuurd, aangezien dit lokaal via het DLL-bestand gebeurt. Volgens anti-virusbedrijf Trend Micro dat de malware beschrijft is deze manier van gegevens stelen opmerkelijk, aangezien de meeste Trojaanse paarden voor internetbankieren vaak "web injects" gebruiken.

Daarbij wordt er een aanvullend venster of veld op de bankpagina geïnjecteerd dat om een pincode of nogmaals om een autorisatiecode vraagt. Deze gegevens kunnen de criminelen vervolgens gebruiken om een frauduleuze transactie uit te voeren. Het gebruik van netwerksniffing maakt het echter veel lastiger voor gebruikers om de verdachte activiteit te ontdekken, aangezien de veranderingen niet zichtbaar zijn.

Aangezien Emotet zich via e-mail verspreidt krijgen internetgebruikers het advies om geen links te openen en bestanden te downloaden die niet gecontroleerd zijn. In het geval van financiële zaken kunnen gebruikers beter eerst de bank bellen om een e-mail te verifiëren voordat men verdergaat, aldus de virusbestrijder