Een nieuwe rootkit ontdekt door ESET richt zich op Nederlandse Google Chrome-gebruikers die bij de Rabobank zitten.

Het gaat om de Theola-malware die door de Mebroot-rootkit wordt geïnstalleerd. Deze malware installeert verschillende browserplug-ins zodat geld van een bankrekening kan worden gestolen. De nieuwste variant van Theola installeert zich in Google Chrome als ‘Default Plug-in 1.0’.

Zodra slachtoffers op een bepaalde bankwebsite komen, dan worden de inloggegevens en creditcardgegevens onderschept en worden deze naar de aanvallers verstuurd. Rabobank is door de aanvallers hardcoded toegevoegd, zo laat ESET weten en blijkt uit onderstaand screenshot. Daarnaast heeft de malware ondersteuning voor onder meer de Regiobank, SNS, ABN AMRO en de Friesland Bank.

Omdat Theola zich als Chrome-plug-in installeert, is deze voor virusscanners lastiger te detecteren. De plug-in gebruikt namelijk alleen gedocumenteerde methodes om de websites mee te besturen. Inmiddels detecteren de meeste virusscanners de kwaadaardige plug-in al.

Naast het onderscheppen van inloggegevens en besturen van websites kan Theola ook video-opnamen maken, gezien de malware beschikt over MPEG-functionaliteit. ESET ontdekte dat de malware vooral actief is in Nederland, gevolgd door Noorwegen, Italië, Denemarken en de Tsjechische republiek.

Bron: security.nl