Een merkwaardig feit - Israëlische banken hebben niet het doelwit geweest door bancaire malware. Tot nu toe. Kaspersky onderzoekers hebben onlangs ontdekt de allereerste banking Trojan doet precies dat, targeting Israëlische banken. Het Trojaanse paard is wel ATMZombie.
ATMZombie past de bekende proxy-veranderende techniek toe om verkeer naar bankpagina's op te sporen. Na een reeks kwaadaardige activiteiten, geld van slachtoffers wordt opgehaald uit geldautomaten door de zogenaamde geldezels.
Meer over ATM Malware
Hoe werkt ATMZombie??
Een van de methoden die door ATMZombie wordt gebruikt, staat bekend als proxy-change en wordt veel gebruikt voor inspecties van HTTP-pakketten. In wezen, proxywijzigingen omvatten de wijziging van de proxyconfiguraties van de browser en het in beslag nemen van het verkeer tussen de client en de server. In dit geval, het wijzigen van proxy's werkt ongeveer als een man-in-the-middle-type aanval.
Meer over Banking Botnets
Aanvallers hebben ook een manier gevonden om bankgegevens te streamen en zo HTTPS-verkeer te doorbreken door hun eigen certificaat uit te geven, ingebed in de Trojan-dropper en geïmplementeerd in de rootcertificeringsinstantie (CA) lijst op de computer van het slachtoffer.
In feite, het wijzigen van proxy's is geen revolutionaire techniek bij malware-aanvallen. Zoals reeds gezegd, proxy-wijzigen heeft alles te maken met het wijzigen van de proxyconfiguratiebestanden van de browser en het vervangen van de standaard proxy-autoconfiguratiebestanden van de browser (of PAC-bestanden).
In het geval van ATMZombie, de kwaadaardige PAC-bestanden leiden het browserverkeer via het tussenknooppunt van de aanvaller.
Onderzoekers beschrijven de volgende fase van de aanval als: een handmatige modusfase omdat het alleen beperkt is tot Israëlische banken. Dit komt door een lokale service waarmee de eigenaar van de bankrekening geld kan overmaken naar anderen zonder bankrekeningen of creditcards.
Onderzoekers geloven dat aanvallers locals zijn
De operators van ATMZombie gebruiken gestolen bankgegevens om in te loggen op de rekeningen van slachtoffers en kleine betalingen naar hun zogenaamde "money mules" te sturen. De malware-operators gebruiken de sms-transactieservice die alleen door Israëlische banken wordt ingezet.
Meer over Bankgegevens stelen
Volgens Kaspersky, verschillende Israëlische banken en honderden mensen zijn aangevallen door de Trojaanse. Het enige goede nieuws hier is dat de methode die wordt gebruikt door de makers van ATMZombie hen niet toestaat grote hoeveelheden geld op te nemen. Er is geen betaling groter dan $750.
In gedachten houdend dat de aanvallen van ATMZombie vrij specifiek zijn voor het Israëlische banksysteem, het is gemakkelijk om aan te nemen dat de criminelen ook lokaal zijn. Bovendien, de inzet van geldezels bij geldautomaten illustreert dat de criminele groep niet op internationaal niveau opereert. Internationaal opererende cybercriminaliteitsgroepen zouden geen geldezels gebruiken.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: