Geavanceerde Trojanen beuken op online bankingpoort

Dat cybercriminelen online bankingtoepassingen en -gebruikers bestoken uit winstbejag, is niets nieuws. Maar deze keer is Mikko Hypponen, chief research officer bij F-Secure, erg onder de indruk van twee nieuwe types Trojanen, met de weinig opwindende namen Zbot en Mebroot.

Dat cybercriminelen online bankingtoepassingen en -gebruikers bestoken uit winstbejag, is niets nieuws. Maar deze keer is Mikko Hypponen, chief research officer bij F-Secure, erg onder de indruk van twee nieuwe types Trojanen, met de weinig opwindende namen Zbot en Mebroot.

“Bij online banking wordt immer het zwakste punt bestookt”, steekt Hypponen van wal tijdens zijn persbriefing op CeBIT. “En dat is de eindgebruiker met zijn slecht beschermde pc’s. Deze keer doen de cybercriminelen dat echter op een – voor ons virusjagers – zeer geavanceerde manier.”

Hyponnen noemt de namen Zbot, waarschijnlijk van Russische makelij, en Mebroot, met een nog onbekende afkomst. Zij dringen de computer binnen op de meest gebruikelijke wijze van het moment: niet meer met de gedateerde e-mailaanval, maar via ‘drive-by-downloads’. Daarmee wordt een gebruiker besmet met ofwel een simpel bezoek aan een besmette webpagina, ofwel door het toelaten van een download van een bestand van zulk een pagina.

Zbot doet, wanneer die op een pc belandt, niet de moeite om zelf de bankbeveiliging te doorbreken, aldus Hypponen. “De Trojaan wacht op de authenticatie van de gebruiker bij een online bankingsessie en begint dan te werken. De gebruiker zelf merkt geen verschil. Hij krijgt een (valse) onderhoudspagina te zien. In tussentijd wordt live een crimineel verwittigd die allerlei transacties gaat doen. Wanneer de onderhoudspagina verdwijnt, krijgt de gebruiker de melding “Dank voor het wachten. Om verder te gaan, gelieve uw challengecode in te geven”. In werkelijkheid bevestigt de gebruiker zo dat de dief zijn centen overschrijft naar zijn rekening.”

Mebroot maakt dan weer gebruik van de aloude rootkit-technologie. “Met rootkits is het een permanent gevecht: wie het eerst zijn code uitvoert – de rootkit of de antivirussoftware – wint. Net daarop speelt Mebroot handig in.” De malware installeert zich letterlijk op de plaats waar de eerste code van pc, bij de opstart, wordt uitgevoerd: de MBR van de harde schijf. “En zoals ik zei: wie eerst zijn code uitvoert…”

“We hadden nooit kunnen denken dat malwareschrijvers daar konden geraken”, besluit Hypponen. “Maar ze hebben de voorbije maanden bètatests gedaan van Mebroot en zijn de Trojaan nu effectief aan het lanceren. Eens te meer het bewijs dat het professionalisme van de cybercriminelen gewoon door het dak gaat.”