Onderzoekers hebben malware ontdekt die op besmette Windowscomputers een vals root SSL-certificaat installeert, zodat gebruikers geen waarschuwing krijgen als ze een nagemaakte versie van hun banksite bezoeken. De criminelen proberen op deze manier gegevens te stelen om bankfraude te plegen.
De aanval, die tegen banken in Zweden, Oostenrijk, Zwitserland en Japan is gericht, begint met een kwaadaardige e-mail. Het bericht is bijvoorbeeld afkomstig van een bekende webwinkel in Duitsland en Zwitserland en bevat een RTF-document. Dit document bevat weer een ingebed CPL-bestand. Als de gebruiker dit ingebedde bestand wil openen verschijnt er een beveiligingswaarschuwing.
Opent de gebruiker het bestand ondanks de waarschuwing toch, dan wordt er weer een ander bestand gedownload, dat zich als een Windows Update tool voordoet. Wederom verschijnt er een pop-up, dit keer van User Account Control, die om toestemming voor de installatie vraagt. Wordt de toestemming wederom verleend, dan installeert de malware zich. Eenmaal actief wijzigt de malware de DNS-instellingen.
Hierdoor worden gebruikers naar een ander IP-adres gestuurd als ze hun banksite willen bezoeken. De tweede actie van de malware is het installeren van een vals root SSL-certificaat. Dit zorgt ervoor dat als gebruikers hun banksite willen bezoeken en naar een ander IP-adres worden doorgestuurd, ze toch HTTPS zien staan zonder dat de browser een waarschuwing geeft dat het om een vals SSL-certificaat gaatt. Als laatste verwijdert de malware zichzelf om geen sporen achter te laten.
Zodra gebruikers na de infectie hun banksite bezoeken komen ze in werkelijkheid op een kwaadaardige kopie uit. De nepsite probeert gebruikers vervolgens een Android-app te laten downloaden. Normaliter ontvangen gebruikers als ze inloggen een code op hun telefoon. Het inlogverzoek vindt echter op de nepsite plaats, die het verzoek niet naar de echte banksite doorstuurt, waardoor de bank de sms niet verstuurt.
Vervolgens krijgen gebruikers een bericht te zien dat als ze het sms-bericht niet hebben ontvangen, ze een Android-app moeten installeren. Zodra de app, die zich voordoet als een wachtwoordgenerator van de bank, is geïnstalleerd worden alle inkomende sms-berichten van de bank onderschept. Door de combinatie van de nepsite en Android-malware beschikken de criminelen over alle informatie om een frauduleuze transactie te verrichten.
Hoeveel internetgebruikers met de malware besmet zijn geraakt en vervolgens de Android-malware op hun telefoon installeerden is onbekend. Dat geldt ook voor het aantal banken dat de malware op de korrel neemt. Volgens Trend Micro, dat de aanval ontdekte, wordt de malware actief zodra gebruikers één van 34 geselecteerde bankdomeinen bezoeken. Een bank kan echter meerdere domeinen gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.