Trojaans paard vervangt banksite door phishingpagina

Cybercriminelen zouden steeds vaker Trojaanse paarden gebruiken die actief worden zodra internetgebruikers de website van hun bank bezoeken. Al geruime tijd bestaan er banking Trojans, die bijvoorbeeld extra invoervelden tijdens het inloggen op de banksite tonen of transacties manipuleren, maar nu waarschuwt het Israëlische beveiligingsbedrijf RSA voor de “phish locker”.
Dit is een Trojaans paard dat actief wordt zodra een gebruiker een website bezoekt die op een vooraf gedefinieerde lijst staat vermeld. De malware sluit in dit geval het browservenster en laat de Windows Startknop verdwijnen. Vervolgens toont de Trojan, gebaseerd op de website die de gebruiker probeerde te bezoeken, een corresponderend webformulier, dat precies op de legitieme website lijkt.

Geavanceerd

In werkelijkheid gaat het om een phishingpagina die alle ingevulde gegevens doorstuurt naar de cybercriminelen. Phish lockers zijn dan ook minder geavanceerd dan banking Trojans. Die kunnen op een besmet systeem toetsaanslagen monitoren, documenten, certificaten en cookies stelen, en al deze informatie op verschillende manieren terugsturen, bijvoorbeeld via een versleuteld kanaal. De phish locker gebruikt hiervoor simpelere methodes, zoals e-mail.
Een ander verschil met banking Trojans is de mate van activiteit. Banking Trojans zijn tijdens het browsen vaak continu in de achtergrond actief, terwijl de phish locker de browser juist sluit en dan de gegevens pas steelt. Zodra de informatie naar de criminelen is verstuurd blijft het programma inactief en voert het verder geen schadelijke activiteiten uit, waardoor de gebruiker de controle weer terugkrijgt, aldus RSA.

Gebieden

“Het is vrij interessant om dit soort Trojaanse paarden te zien, die in vergelijking met de meeste banking Trojans zeer simpel zijn. Het is nog interessanter dat ze in bepaalde gebieden verschijnen waar de veiligheid van internetbankieren vaak erg geavanceerd is”, aldus het beveiligingsbedrijf. De phish lockers werden begin dit jaar in Latijns-Amerika gezien, maar wat de nieuwe locaties zijn laat RSA niet weten.

Bron: Security.nl