Bankmalware gebruikt nieuwe techniek om browser te manipuleren

[Captain Kirk]

Onderzoekers hebben bankmalware ontdekt die een nieuwe techniek gebruikt om de browser te manipuleren en zo geld van bankrekeningen te stelen. De meeste banking Trojans injecteren zich in de processen van de browser om zich zo te verbergen en gegevens voor internetbankieren te stelen.

De BackSwap-malware kaapt echter verschillende events van de "Windows message loop". De malware zoekt vervolgens naar objecten waarin vermeld staat dat de gebruiker een transactie gaat uitvoeren. Zodra de malware ziet dat een gebruiker geld naar een rekening overmaakt wordt er voor de specifieke bank kwaadaardige JavaScript-code geladen.

Deze code vervangt in de achtergrond het rekeningnummer waar het slachtoffer geld naar wil overmaken. Op het scherm wordt echter het originele rekeningnummer weergegeven. "Beveiligingsmaatregelen tegen ongeautoriseerde transacties, zoals tweefactorauthenticatie, zullen in dit geval niet helpen, aangezien de rekeninghouder de transactie wil uitvoeren", zegt Michal Poslusny van anti-virusbedrijf ESET.

Volgens de onderzoeker heeft de nieuwe techniek als voordeel voor de malware-auteur dat de code niet afhankelijk van de browserarchitectuur is en geen speciale rechten vereist. De BackSwap-malware verspreidt zich via e-mailbijlagen en heeft het op vijf banken in Polen voorzien, waaronder ING. Alleen als het slachtoffer een bedrag in een bepaalde bandbreedte overmaakt wordt de malware actief en zal het rekeningnummer wijzigen. Meestal gaat het om een bedrag tussen de 2300 en 4600 euro.

 

 

bron: security.nl