ZeuS Trojan plundert automatisch bankrekeningen

Door: | 19 juni 2012 11:06

Apps & Software

De nieuwste varianten van ZeuS en SpyEye hebben een geavanceerde man-in-the-browser module die volautomatisch en onzichtbaar internetbankiersessies kaapt en geld wegsluist.

Cybercriminelen hebben de infameuze malware ZeuS en SpyEye een belangrijke upgrade gegeven. De nieuwste varianten kunnen volautomatisch, zonder handmatige tussenkomst van slachtoffer of crimineel, een internetbankiersessie kapen én een frauduleuze transactie uitvoeren. Dat meldt Trend Micro in een nieuw rapport.

Volautomatische plundering

Het securitybedrijf heeft versies onderschept die het hebben voorzien op Rabobank-klanten, maar de nieuwste ZeuS zou het vooral hebben voorzien op bankklanten in Duitsland, Engeland en Italië.

Eerdere versies konden, via een zogenaamde man-in-the-browser aanvalscode WebInject, al wel de tweefactor authenticatie bij het internetbankieren kapen. Maar om een transactie te kunnen voltooien, toonde de malware een pop-up venster om het slachtoffer nogmaals zijn authenticatiecode te laten invoeren.

De nieuwste variant werkt echter volledig ongemerkt, er zijn geen extra handelingen van het slachtoffer of dader voor nodig.

Afboeking niet zichtbaar

Ook naderhand houdt ZeuS de frauduleuze transactie nog geheim, onder meer door de pagina waar het rekeningsaldo getoond wordt te manipuleren, zodat het slachtoffer niet ziet dat er duizenden euro's weg zijn. Hierdoor hebben de cybercriminelen rustig de tijd om het geld weg te sluizen.

Het geld wordt veelal overgemaakt naar een zogenaamde mule. Deze zijn zelf niet onderdeel van de cyberbende, maar stellen hun rekening ter beschikking. De mule pint het overgemaakte bedrag en geeft de cash aan de cybercriminelen.

Drive-by infectie

Aan ZeuS worden voordurend nieuwe modules toegevoegd. In mei werd bekend dat de Trojan ook ransomware serveerde.

ZeuS besmet computers doordat gebruikers op een link klikken in een phishingmail of door een drive-by code die is geïnjecteerd in een webserver, zoals onlangs gebeurde bij WeerOnline.nl.

Bron: Webwereld.nl