Meer banking malware in Q1

Europa en Noord-Amerika zwaarst getroffen

Banking Malware Trend MicroGebruikers van online bankieren in Europa en Noord-Amerika ervaren een flinke opleving van DYRE. Dit is een malware-familie die berucht is om onder andere de vele manieren waarop het in staat is gegevens te stelen.

Het aantal DYRE-gerelateerde infecties steeg in het eerste kwartaal van dit jaar wereldwijd met 125% in vergelijking met Q4 2014. Dit toont aan dat de interesse van cybercriminelen in online bankieren sterk blijft groeien.

Figuur 1 DYRE infecties

 

Europese gebruikers doelwit
Het gros van de gebruikers die in de afgelopen drie maanden werden geïnfecteerd, kwamen uit Europa (39%) en Noord-Amerika (38%). Binnen Europa zijn de Franse gebruikers het grootste doelwit en daarmee goed voor 34% van de totale infecties binnen deze regio, gevolgd door Duitsland (14,53%) en Spanje (9,33%). Nederland staat onderaan met 1,34% van de totale infecties in Europa.

Figuur 2 DYRE infecties per regio

Malware-infecties rondom online bankieren waren lange tijd een probleem in Noord-Amerika. Maar ook Europa heeft een aandeel gehad in beruchte banking malware, waaronder DRIDEX. Nu DYRE ook in APAC opduikt, lijkt het erop dat cybercriminelen ook in andere regio’s meer voet aan grond willen krijgen.

Als het echter gaat om het aantal spam-berichten die in de eerste week van mei zijn verstuurd en erop zijn gericht om DYRE-malware achter te laten op de apparaten van gebruikers, zien we dat APAC en Japan goed zijn voor het grootste volume e-mails (44%), gevolgd door EMEA (39%). Noord-Amerika blijft juist ver achter (17%)

Figuur 3 DYRE spam per regio

 

 

 

 

 

 

 

 

De reden dat de meeste infecties in EMEA en Noord-Amerika hebben plaatsgevonden kan liggen aan het feit dat de meeste e-mails in het Engels zijn verstuurd.

Nieuwe variant gevonden
Onderzoekers vonden ook een nieuwe variant van DYRE, namelijk TSPY-DYRE.IK. Verontrustend is dat het laat zien hoe malware gericht op online bankieren zich blijft ontwikkelen om detectie te voorkomen. UPATRE, de bekende voorloper van DYRE is in deze infectieketen een onderdeel. UPATRE staat bekend als de downloader of ‘tussenpersoon’ van andere beruchte malware-soorten zoals Zbot, CRILOCK en ROVNIX. In dit geval gaat UPATRE verder dan een downloader van malware. De nieuwe variant kan detectie uitschakelen, waardoor het downloaden van DYRE of andere malware makkelijker is. Nieuwe functies zijn:

  • Uitschakelen van de firewall / netwerkgerelateerde beveiliging door het wijzigen van enkele registry entries
  • Uitschakelen van de firewall / netwerkgerelateerde beveiliging via stopzetten van gerelateerde diensten
  • Uitschakelen van de standaard antimalware-functie in Windows (WinDef)

UPATRE Spam Content
Als we naar de inhoud van de spamberichten kijken, zien we dat er gebruik wordt gemaakt van typische social engineeringstechnieken. Criminelen proberen via de mail angst te zaaien en zo de ontvanger te verleiden het bijgevoegde .EXE-bestand openen. In de bijlage zouden ze bijvoorbeeld meer informatie krijgen over, in dit geval, een niet bestaande wet waardoor de belasting die zij moeten betalen wordt verdubbeld. Als het om belastingen gaat zijn veel mensen bezorgd, waardoor ze sneller bezwijken voor dit soort verzoeken.

Figuur 4 screenshot spam email

 

 

 

 

 

 

 

 

 

 

 

Wat je kunt doen

  • Ken het beleid van je bank rondom e-mails. Controleer altijd eerst of de e-mail authentiek is voordat je deze opent.
  • Installeer een uitgebreide antimalware-oplossing
  • Is er een infectie, verander dan direct je wachtwoorden vanaf een ander apparaat en volg nauwlettend je banktransacties. Informeer je bank direct wanneer je verdachte transacties ziet.

Lees hier het originele Engelstalige artikel door Abraham Camba

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.