image

Malware probeert 60.000 euro via computer accountant te stelen

donderdag 11 september 2014, 15:07 door Redactie, 3 reacties

Een Russisch bedrijf is het doelwit van malware geworden die via de computer van de accountant 60.000 euro probeerde te stelen. Het bedrijf gebruikte een remote banksysteem om betalingen klaar te zetten. Onlangs werd het bedrijf door de bank gebeld met toestemming voor een grote betalingsopdracht.

Het ging om een betaling van 3 miljoen roebel, wat met zo'n 60.000 euro overeenkomt. Verder onderzoek wees uit dat er eerder al een betaling van 300.000 roebel had plaatsgevonden, wat zo'n 6.000 euro is. Deze betaling was niet bij de bank opgevallen. Beide betalingen waren echter gedaan via de computer van de accountant op een moment dat hij aan het lunchen was.

Patch

Onderzoek van anti-virusbedrijf Kaspersky Lab wees uit dat de aanvallers een combinatie van social engineering en malware hadden gebruikt. Er was een e-mail met een Word-bijlage meegestuurd die van de Russische Belastingdienst afkomstig leek. Dit bestand maakte misbruik van een bekend Word-lek dat Microsoft op 10 april 2012 had gepatcht. 2,5 jaar na het uitkomen van de update was die nog steeds niet door het bedrijf geïnstalleerd.

Zodra de bijlage werd geopend werd er een aangepaste versie van Remote Manipulator System geïnstalleerd. Via deze software is het mogelijk om op afstand toegang tot computers te krijgen. Het gaat hier niet om malware, maar om een legitiem product. Uiteindelijk installeerden de aanvallers ook een keylogger om het wachtwoord voor het banksysteem te onderscheppen.

Om misbruik te voorkomen controleerde de bank het IP-adres waarvandaan de betalingsopdrachten werden verstuurd, maar de cybercriminelen gebruikten hiervoor de overgenomen computer, waardoor het IP-adres hetzelfde bleef. De aanval vond gedurende een periode van vier dagen plaats. Op de eerste dag werd de e-mail verstuurd. De volgende dagen werden de activiteiten van de accountant gemonitord, om op de vierde dag de betalingsopdrachten te versturen.

Legitieme software

Volgens de onderzoekers gebruiken cybercriminelen steeds vaker legale software, zoals Remote Manipulator System. "We zien cybercriminelen legitieme applicaties gebruiken om op afstand toegang tot de computer van het slachtoffer te krijgen voordat er malware wordt geïnstalleerd", zegt analist Mikhail Prokhorenko. Hij merkt op dat beveiligingssoftware geen waarschuwing geeft als legitieme software wordt gestart.

"Als cybercriminelen de originele, ongewijzigde versies van legitieme software gebruiken, is de enige oplossing voor beveiligingssystemen om de gebruiker elke keer te waarschuwen als er een potentieel ongewenst programma wordt gestart." Volgens Prokhorenko moeten alle gebruikers beseffen dat geen enkel beveiligingsproduct absolute bescherming kan bieden. Het is dan ook belangrijk om op systeemmeldingen of verdacht gedrag te letten, zo merkt hij op.

Reacties (3)
11-09-2014, 15:36 door Anoniem
Hij merkt op dat beveiligingssoftware geen waarschuwing geeft als legitieme software wordt gestart.

Goh... meen je dat nou?

Misschien je gebruiker beperken met een user account.
ABN doet dat zelfs met hun pin automaten.
Hierdoor kan je al een boel blokken.
11-09-2014, 17:02 door mcb
Dat betekent dus dat die bank geen 2 factor gebruikt zoals TAN-codes of zo'n calculator, en dus alleen userid/pw volstaat.
12-09-2014, 11:51 door Anoniem
Wat ik triest vind, is het feit dat een accountantskantoor haar systemen niet up-to-date houdt. Of mag dat misschien in Rusland niet, omdat de geheime dienst dan niet mee kan kijken?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.