Banking Malware bewaakt slachtoffers door kaping Webcams en microfoons, onderzoekers zeggen

Een nieuwe variant van SpyEye-malware stelt cybercriminelen in staat om potentiële bankfraudeerslachtoffers te volgen door hun webcams en microfoons te kapen, volgens veiligheidsonderzoekers van antivirusverkoper Kaspersky Lab.

SpyEye is een computer Trojaans paard dat zich specifiek richt op gebruikers van internetbankieren. Net als zijn oudere neef, Zeus, wordt SpyEye niet meer ontwikkeld door de oorspronkelijke auteur, maar wordt het nog steeds veel gebruikt door cybercriminelen in hun operaties.

Dankzij de inplugbare architectuur van SpyEye kunnen externe malware-ontwikkelaars hun oorspronkelijke functionaliteit uitbreiden , Stelde malware-onderzoeker Dmitry Tarakanov van Kaspersky Lab maandag in een blogpost. Dit is precies wat er gebeurde met de nieuwe webcam en microfoon spionage-functie, die geïmplementeerd is als een SpyEye plug-in genaamd flashcamcontrol.dll, Tarakanov zei.

[Lees meer: ​​Hoe malware van je Windows-pc te verwijderen]

Zoals wordt gesuggereerd door de naam van de DLL, krijgt de malware toegang tot deze twee computerrandapparatuur door gebruik te maken van Flash Player, waarin webcam- en microfoonbesturingsfunctionaliteit is ingebouwd.

Onder normale omstandigheden worden gebruikers gevraagd websites handmatig toestemming te geven de webcam van hun computer te bedienen en microfoon via Flash. De SpyEye-invoegtoepassing plaatst echter stil in de lijst met websites voor online bankieren door de Flash Player-configuratiebestanden direct te wijzigen. Aanvankelijk dachten de onderzoekers van Kaspersky Lab dat dit mogelijk een onderdeel zou zijn van het omzeilen van gezichtsherkenningssystemen die door sommige gebruikers worden gebruikt. banken voor veilige authenticatie. Nadat ze contact hadden gehad met de gerichte organisaties, ontdekten ze dat geen van hen op zijn websites webcamafhankelijke functies had.

De onderzoekers van Kaspersky ontdekten later, door een andere SpyEye-component te analyseren, dat de malware de webcam en microfoonkaping injecteert Flash-inhoud naar de getargete websites voor internetbankieren lokaal, wanneer deze sites worden geopend in een browser op de geïnfecteerde computers.

Dit wordt gedaan met behulp van een manipulatietechniek waarmee de meeste bancaire malware, waaronder SpyEye, ook wordt gebruikt. gebruikt voor het weergeven van bedrieglijke berichten en het verbergen van legitieme inhoud in de browser.

Sommige banken eisen dat klanten transacties die zijn gestart vanuit hun online accounts bevestigen door geheime codes in te voeren die naar hun mobiele telefoons worden verzonden of worden gegenereerd door draagbare hardwaretokens. Cybercriminelen hebben deze codes nodig om geld te stelen, dus gebruiken ze social engineering vaak om slachtoffers te misleiden om ze te ontmaskeren.

In andere gevallen zullen de banken hun klanten bellen om transacties via de telefoon te autoriseren en dit is wanneer ze een webcam hebben en microfoon spionage mogelijkheden kunnen erg handig zijn voor aanvallers. Dat was het geval met een Ecuadoriaanse bank wiens klanten in het verleden werden geraakt door een ander stuk malware met deze functionaliteit, aldus Tarakanov.

Tijdens gesprekken met de telefoonaanbieders van de bank kunnen klanten zeer gevoelige informatie over zichzelf en hun accounts, met het doel hun identiteit te verifiëren. Deze informatie kan de moeders meisjesnaam, hun geboortedatum, hun creditcard- en sofinummers bevatten, evenals hun telefoonnummer (TPIN), dat wordt gebruikt voor telefonisch bankieren.

"Gebruik van een microfoon, de indringer kan naar binnen luisteren, en later kan de misdadiger de bank zelf bellen, vermomd als een cliënt wiens code hij heeft afgeluisterd, "zei Tarakanov. "Met deze code wordt het mogelijk om de telefoon- en inloggegevens bij te werken en de volledige controle over het account van het slachtoffer te krijgen."

Cybercriminelen kunnen daarentegen door het kapen van webcams monitoren hoe slachtoffers reageren als ze de sociaal ontworpen berichten lezen weergegeven door de malware op websites voor online bankieren.

Cybercriminelen zijn nooit 100% zeker van hoe effectief hun trucjes voor social engineering zullen blijken te zijn, zei Tarakanov via e-mail. Het is belangrijk voor hen om te begrijpen waar en waarom hun aanvallen falen, zodat ze ze kunnen aanpassen voor betere resultaten, zei hij.

Het is ook mogelijk dat sommige van de beoogde gebruikers de beste werkwijzen volgen en hun banken bellen om de authenticiteit te verifiëren van alle verdacht uitziende berichten die ze tegenkomen tijdens online bankvergaderingen.

Wanneer zij dit doen, moeten ze waarschijnlijk via de telefoon verifiëren - een proces dat, zoals eerder vermeld, gevoelige informatie blootlegt die via de microfoon kan worden vastgelegd.

Deze specifieke aanval laat zien hoe cybercriminelen niet alleen het geld van mensen oogsten, maar ook hun emoties, zei Tarakanov in de blogpost.

Om zichzelf te beschermen tegen dergelijke aanvallen, zouden gebruikers hun webcams kunnen verbergen als ze niet gebruiken, maar dat is niet zo eenvoudig met microfoons, zei Tarakanov via e-mail.

Zowel webcams als microfoons kunnen worden uitgeschakeld vanuit het besturingssysteem, handmatig of met behulp van gespecialiseerde software, maar dat zou nauwelijks handig zijn, vooral voor mensen die regelmatig deze randapparatuur gebruiken.

Het is veel gemakkelijker om de infectie te voorkomen in de eerste plaats door elementaire beveiligingsmethoden te volgen, zoals het up-to-date houden van alle computersoftware, een up-to-run draaien -date antivirusprogramma, kritisch kijken naar koppelingen voordat ze erop klikken en vermijden dat programma's worden geïnstalleerd van verdachte bronnen, zei Tarakanov.