Bankmalware verspreid via specifieke Google-zoekresultaten

[Captain Kirk]

Criminelen maken gebruik van specifieke Google-zoekresultaten om malware te verspreiden die gegevens voor internetbankieren steelt, zo laten onderzoekers van Cisco in een analyse weten. Als internetgebruikers op bepaalde sleutelwoorden in Google zoeken krijgen ze zoekresultaten te zien die naar gehackte servers en websites wijzen die malware aanbieden.

Het gaat dan om zoekopdrachten als "nordea sweden bank account number" en "how to cancel a cheque commonwealth bank". Om ervoor te zorgen dat de kwaadaardige zoekresultaten bovenaan de resultaten bij Google komen hacken de aanvallers verschillende servers en websites en voorzien die van verschillende sleutelwoorden. De pagina's worden door Google op deze sleutelwoorden geïndexeerd en zodra internetgebruikers hierop zoeken krijgen ze de kwaadaardige zoekresultaten te zien. De zoekresultaten wijzen gebruikers uiteindelijk door naar een Word-document met kwaadaardige macro's.

Als gebruikers de macro's inschakelen wordt de Zeus Panda banking Trojan geïnstalleerd. Deze malware steelt gegevens voor internetbankieren en andere gevoelige inloggegevens. Om detectie door onderzoekers te voorkomen controleert de malware eerst of die niet in een virtual machine of sandbox draait, of dat er analysetools zoals Wireshark draaien. Zodra de malware de aanwezigheid van Sandboxie, VirtualBox, Parellels, VMware, VirtualPC of andere virtualisatiesoftware detecteert, verwijdert die zichzelf van het systeem. Volgens Cisco laat de aanval zien dat aanvallers continu nieuwe manieren vinden om gebruikers malware te laten installeren.

 

 

bron: security.nl