Trojaans paard verandert proxy-instellingen Internet Explorer

[Captain Kirk]

Een Trojaans paard dat ontwikkeld is om geld van bankrekeningen te stelen blijkt hiervoor de proxy-instellingen van Internet Explorer aan te passen. De malware is alleen in Brazilië actief en wordt verspreid via een e-mailbijlage die zich als een afschrift van een telecomaanbieder voordoet.

De bijlage, een pif-bestand, is in werkelijkheid de malware. Eenmaal actief verandert die de proxy-instellingen van Internet Explorer. Deze aanpassing zorgt ervoor dat het verkeer van gebruikers naar de server van de aanvallers wordt doorgestuurd. Deze server stuurt gebruikers weer door naar een phishingpagina als ze in hun browser de website van hun bank opvragen.

Hoewel de malware de proxy-instellingen in Internet Explorer aanpast, raakt dit ook andere browsers op het systeem, aangezien die dezelfde proxy-instellingen gebruiken, zo meldt het Russische anti-virusbedrijf Kaspersky Lab. Volgens de virusbestrijder worden slachtoffers van het Trojaanse paard naar een server met een Nederlands ip-adres doorgestuurd die verschillende phishingpagina's voor Braziliaanse banken bevat.

Om ervoor te zorgen dat alleen Braziliaanse internetgebruikers besmet raken controleert de malware de taalinstellingen van de computer. In het geval de ingestelde taal geen Braziliaans Portugees is, wordt de infectie afgebroken. Aangezien de malware van PowerShell gebruikmaakt krijgen organisaties het advies om alleen het uitvoeren van gesigneerde scripts op computers toe te staan.

 

 

bron: security.nl