Wat is een Banking Trojan, welke bankroof trojanen zijn de meest gevaarlijkste?
Een banking trojan is een verzamelnaam voor verschillende varianten van trojaanse paarden die ontwikkeld zijn voor het uitvoeren van online bankroven.
De Zeus/Zbot banking trojan is de meest bekende variant waarvan vele verschillende nieuwe versies van zijn ontwikkeld en verspreid. Naast de bestaande varianten van de Zeus Banking Trojan, zijn er ook verschillende varianten van de volgende bekende banking Trojans verspreid: Carberp, Citadel, Dridex en SpyEye. Een nieuwe banking trojan die nu in opmars is, heet de GozNym Trojan.
In Nederland komen ze ook veel voor. Vorig jaar bracht de Autoriteit Consument & Markt (ACM) in Nederland nog een urgente waarschuwing uit over de verspreiding van nieuwe banking trojans via besmette advertenties – malvertising. Deze werden getoond op de meest populaire websites in Nederland. Het gaat hier om betrouwbare informatie die is verstrekt door het beveiligingsbedrijf Fox-IT.
Bepaalde varianten van banking trojans waren op 17 maart massaal verspreid geworden via deze malafide advertenties op de meest populaire websites in Nederland waaronder Marktplaats, Groupon, VGZ, Lexa, Neckermann etc. Het is belangrijk om te beseffen dat je als bezoeker niet op een besmette advertentie hoeft te klikken om met een banking trojan besmet te raken. Het is voldoende om een besmette website te bezoeken. Het geeft weer de noodzaak aan om te investeren in een goede extra specialistische malware scanner. Het ACM roept dan ook alle nederlanders om een malware scan uit te voeren om te controleren of de banking trojan zich niet stiekempjes op de computer heeft verstopt. Op dit moment is het probleem geïdentificeerd en wordt de betreffende banking trojan (als het goed is) niet meer verspreid. Het is nog niet geheel duidelijk om welke banking trojans het precies gaat. Waarschijnlijk gaat het om vooral de Qadars banking Trojan en de ZeusVM banking trojan. Dit zijn twee uiterst gevaarlijke banking Trojans die via kwetsbaarheden in o.a. Silverlight, Java en Adobe programma’s de computer besmetten. Eenmaal op de computer zal deze gemakkelijk uw bankrekening kunnen leegroven. We raden u aan om uw systeem te scannen met de SpyHunter 4. Dit is een specialist op het gebied van complexe malware detectie.
De ZeusVM banking Trojan:
De ZeusVM banking trojan is een variant van de al eerder genoemde Zeus/Zbot Trojan. MalwareBytes heeft hier op 17 maart geschreven en spreekt over een zeer gevaarlijk en complex Trojaans Paard. Deze banking Trojan werkt net als de Qadars banking trojan als een “man-in-the-browser“ aanval waarbij cyber-criminelen alle persoonlijke informatie verzamelen om vervolgens online transacties te verrichten. Het bijzondere van de ZeusVM variant is dat deze afbeeldingen/plaatjes gebruikt as lokaas om computers te besmetten via zogenaamde malvertising campagnes. Met andere woorden, de banking trojan verstopt zich achter plaatjes en verspreid zich via online advertenties waarin besmette plaatjes zitten.
Hoe werkt de ZeusVM banking Trojan?
Als je een mooie .png of jpeg afbeelding ziet, zou je niet meteen vermoeden dat hier achter een kwaadaardig programma zit verstopt dat ontwikkeld is om geld van je bank te stelen. Wanneer je het plaatje als bestand gaat analyseren op het niveau van haar programmering (de codes) en deze vergelijkt met vergelijkbare niet besmette plaatjes, zul je zien dat er extra codes zijn toegevoegd.
Deze extra kwaadaardige codes kun je zien door middel van een hexadecimal viewer. In het voorbeeld hieronder zie je waar de code voor het plaatje eindigt en waar de kwaadaardige code van de banking Trojan begint.
De informatie die je vervolgens verkrijgt is niet te lezen voor mensen aangezien de cyber-criminelen de data hebben versleuteld via Base64,RC4 en XOR encryptie technologie. Wanneer je deze code vervolgens decodeert zie je dat het bestand een aantal banken in het vizier heeft:
Een van deze banken is de Duitse Bank, maar ook natuurlijk de meest bekende Nederlandse banken zijn een doelwit. Wanneer een besmette computer deze website laadt en het slachtoffer zijn rekening bezoekt, zal de Banking Trojan heerlijk mee kunnen doen en de bankrekening volledig kunnen plunderen. Dit is mogelijk aangezien de bank niet kan herkennen of het gaat om een illegale transactie aangezien de klant op een legitieme manier heeft ingelogd bij de bank.
Dus, een banking trojan wordt mooi verwerkt in de metadata van een plaatje. Wanneer de computer niet over de beste antivirus software beschikt en de computer vol met kwetsbaarheden zit, zal deze malware toeslaan zodra het plaatje word vertoond in een advertentie of op een andere manier. Vervolgens zal banking trojan pas toeslaan nadat de gebruiker de signaturen-based Intrusion Detection System van de bank is gepasseerd. De gevolgen zijn vreselijk. In plaats van een afbeelding kan de malware ook verstopt worden in een liedje of een video. Cyber-criminelen steken steeds meer geld in de ontwikkeling van meer en meer geavanceerde malware. De banking trojan is daar weer een bewijs van. Voorzichtigheid en het kopen van een uitstekende malware scanner zijn gewoon een vereiste geworden voor elke computer gebruiker. Voor meer informatie:
- SpyHunter Malware Removal
- Een selectie van de beste antivirus software.
- Hoe kan ik malware verwijderen van mijn computer?
- Hoe kan ik mijn internet security niveau verbeteren?
Ten slotte, bovenstaande is ook relevant voor mac computers. Banking Trojans kunnen ook specifiek Mac computers in het vizier hebben. Een Mac heeft ook een virusscanner nodig. Wat is een goede virusscanner voor mac?
Gerelateerde malware problemen:
- Wat is het Ukash Virus?
- Hoe kan ik het politievirus verwijderen?
- Buma Stemra virus
- Wat is een Cryptolocker?
Bronnen over banking trojans:
- MalwareBytes over de banking trojan VMzeus
- ESET over de Qadars banking trojan
- Enigma Research on the Zbot Trojan
- Trend Micro Labs – Dridex banking trojan
- Kaspersky Labs – Zeus banking trojan
- Avast – Carberp banking trojan
- R.A.T.