image

Bankmalware verspreid via specifieke Google-zoekresultaten

vrijdag 3 november 2017, 11:46 door Redactie, 2 reacties

Criminelen maken gebruik van specifieke Google-zoekresultaten om malware te verspreiden die gegevens voor internetbankieren steelt, zo laten onderzoekers van Cisco in een analyse weten. Als internetgebruikers op bepaalde sleutelwoorden in Google zoeken krijgen ze zoekresultaten te zien die naar gehackte servers en websites wijzen die malware aanbieden.

Het gaat dan om zoekopdrachten als "nordea sweden bank account number" en "how to cancel a cheque commonwealth bank". Om ervoor te zorgen dat de kwaadaardige zoekresultaten bovenaan de resultaten bij Google komen hacken de aanvallers verschillende servers en websites en voorzien die van verschillende sleutelwoorden. De pagina's worden door Google op deze sleutelwoorden geïndexeerd en zodra internetgebruikers hierop zoeken krijgen ze de kwaadaardige zoekresultaten te zien. De zoekresultaten wijzen gebruikers uiteindelijk door naar een Word-document met kwaadaardige macro's.

Als gebruikers de macro's inschakelen wordt de Zeus Panda banking Trojan geïnstalleerd. Deze malware steelt gegevens voor internetbankieren en andere gevoelige inloggegevens. Om detectie door onderzoekers te voorkomen controleert de malware eerst of die niet in een virtual machine of sandbox draait, of dat er analysetools zoals Wireshark draaien. Zodra de malware de aanwezigheid van Sandboxie, VirtualBox, Parellels, VMware, VirtualPC of andere virtualisatiesoftware detecteert, verwijdert die zichzelf van het systeem. Volgens Cisco laat de aanval zien dat aanvallers continu nieuwe manieren vinden om gebruikers malware te laten installeren.

Image

Reacties (2)
03-11-2017, 13:27 door Anoniem
Bovenstaande impliceert dat het permanent draaien van WireShark oid je dus beschermt tegen deze (en andere) malware?
03-11-2017, 16:13 door Anoniem
Bovenstaande impliceert dat het permanent draaien van WireShark oid je dus beschermt tegen deze (en andere) malware?

Nee, want WireShark blokkeert niets, en zal je per definitie nergens tegen beschermen.

Wel kan je jezelf beschermen, middels bevindingen die je doet met wireshark.

Zelfde als bij een intrusion detection systeem; meldingen zullen nimmer iets voorkomen, indien mensen geen aktie ondernemen op basis van de bevindingen.

Zo zie je soms breaches bij bedrijven, welke men had kunnen voorkomen door te reageren op meldingen uit beveiligingssystemen, die men al maandenlang voorbij zag komen (i.e. breach van de Target winkelketen in de VS).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.