De digitale bankrovers die afgelopen december 1,13 miljoen dollar van een Vietnamese bank probeerden te stelen wisten dat de bank Foxit Reader als pdf-lezer gebruikte en pasten deze kennis toe bij hun aanval. Dat laat beveiligingsbedrijf Intel Security in een analyse weten.
De overval op de Vietnamese Tienphong Commercial Joint Stock Bank mislukte omdat de frauduleuze transactie werd opgemerkt. Een paar weken later slaagden de aanvallers er echter in om bij de Centrale Bank van Bangladesh wel succesvol 81 miljoen dollar te stelen. In beide gevallen beschikten de overvallers over kennis van de bankomgeving en het Swift-transactiesysteem waarmee de frauduleuze transacties werden uitgevoerd.
In het geval van de overval op de Vietnamese bank wisten de aanvallers dat de bank Foxit Reader als pdf-lezer gebruikte. Foxit Reader is een alternatief voor de veelgebruikte pdf-lezer Adobe Reader. De aanvallers wisten op nog onbekende wijze een nepversie van Foxit Reader op de banksystemen te krijgen. Het ging om malware die zichzelf in de originele Foxit-installatiemap plaatste en het originele bestand naar FoxltReader.exe hernoemde.
Zodra de nepversie werd gestart manipuleerde die pdf-bestanden met transactieoverzichten, om zo de frauduleuze transactie voor de gebruiker te verbergen. Vorige week liet de internationale bankorganisatie Swift nog weten dat digitale overvallers bij een niet nader genoemde bank een besmette pdf-lezer hadden gebruikt om de afschriften aan te passen.
"Bij beide aanvallen kunnen we zien dat de aanvallers hun verkenningsmissie goed hebben uitgevoerd en mogelijk een insider hebben gebruikt om de informatie te verkrijgen die bij de voorbereiding van de aanvallen is gebruikt", zegt Christiaan Beek van Intel Security. Bij beide overvallen was de malware op maat gemaakt en aangepast op de omgeving van de banken. Ook hebben de overvallers uitgebreide kennis van het Swift-transactiesysteem en was de gebruikte malware net voor de overvallen gecompileerd. Hoe de aanvallers toegang tot de omgevingen van beide banken wisten te krijgen is nog niet bekend geworden.
Deze posting is gelocked. Reageren is niet meer mogelijk.