Hoe een rootkit je ABN AMRO rekening plundert

In de eerste helft van 2011 jaar wisten cybercriminelen bij Nederlandse internetgebruikers 11,2 miljoen euro van online bankrekeningen te plunderen. De meeste van deze aanvallen vonden via phishing plaats, aldus de Nederlandse Vereniging van Banken (NVB). Toch waren er ook gevallen waarbij malware werd ingezet. Onderzoekster Sasha-Helena van den Heetkamp ontdekte onlangs een variant van de SpyEye Trojan op één van haar machines.

Ze besloot de website van haar bank, de ABN AMRO, te bezoeken. “Tot mijn grote verrassing was de poging om mijn gegevens te kapen erg goed gedaan. Zelfs voor een ervaren beveiligingsonderzoeker als ik, was het lastig om te zien wat er gebeurde.” Het Trojaanse paard injecteerde stukjes code in de browser. Als ze naar https://www.abnamro.nl ging, wat een beveiligde verbinding is, werd er code op de bankpagina geïnjecteerd.

malware bankrekening misbruik

Java
De geïnjecteerde code viel op door een venster met een voortgangsbalk. Vervolgens stuurde de malware een request naar een domein, om daar de gekaapte rekeningnummer en twee-factor authenticatiecodes naar toe sturen. “Dit soort aanvallen zijn zeer ernstig, dus heb ik het bij de ABN AMRO gemeld.”

Hoe de machine besmet raakte weet Van den Heetkamp niet zeker, maar ze vermoedt een drive-by download-aanval op een ongepatcht Java-lek. Onlangs werd bekend dat SpyEye zich inderdaad via een recent Java-lek verspreidt. “De virusscanner detecteerde het niet. Het enige programma dat de infectie kon vinden was ComboFix.”

En zo’n besmetting kan overslaan naar uw (bedrijfs-) website door bijvoorbeeld een FTP programma of CMS besmetting. Wordt geen gehackte site. Beveilig uw website of webwinkel met een Anti Malware Scan.

Kies voor het orgineel: http://www.antimalwarescan.nl