Bankingtrojan mikt op Nederlanders

Nederlandse internetters zijn het doelwit van een trojaans paard dat onder meer internetbankieren wil afluisteren. De malware gebruikt een eigen certificaat om https-verbindingen af te luisteren.

Het trojaanse paard heeft het specifiek voorzien op gebruikers van Firefox, Opera, Internet Explorer en Maxthon, meldt Symantec. Niet alleen internetbankieren wordt afgeluisterd, maar ook webmail en connecties met social networkingsites. Symantec heeft de malware de naam Trojan.Tatanarg.B meegegeven.

Proxy in de browser
Het trojaanse paard installeert een proxy in de browser om zo het https-verkeer af te vangen met een eigen certificaat. Daardoor kan al het versleutelde verkeer tussen gebruiker en de beveiligde website worden ingezien.

Niet alleen zijn alle belangrijke details uit het verkeer helder in te zien, ook kan de aanvaller veranderingen aanbrengen "on te fly". Volgens Symantec is dat wel veelal duidelijk te zien voor de gebruiker. Vooral gebruikers van Opera krijgen een duidelijke waarschuwing.

Drive-by besmetting
De malware wordt volgens Symantec geďnstalleerd nadat er op een attachment van een email wordt geklikt om die te openen, of er wordt door de aanvaller een exploit gebruikt via de exploitkit Blackhole. Dat gebeurt onder meer bij het bezoeken van een besmette website.

Opvallend is dat meer dan de helft van het aantal besmettingen in Nederland zijn. Verder zijn er besmettingen in ons omringende landen als Duitsland, Noorwegen en Finland,