Sluwe ZeuS-mutant plundert ING- en Rabo-klanten

De nieuwste ZeuS/SpyEye malware combineert een man-in-the-browser met een man-in-the-middle aanval vanaf 60 verschillende servers. In Nederland vormen ING en Rabobank-klanten doelwit.

Sinds afgelopen maart hebben cybercriminelen met de nieuwste module bovenop de Trojan ZeuS/SpyEye meer dan 35 miljoen euro van ten minste 5000 rekeningen van twee Nederlandse banken buitgemaakt. Dat meldt securitybedrijf McAfee.

Doelwit: ING en Rabo
Vorige week sloeg een ander beveiligingsbedrijf, Trend Micro, al alarm over dezelfde bende en ZeuS-mutant. Trend Micro-onderzoeker Loucif Kharouni bevestigt tegenover Webwereld dat er specifieke code voor ING bank en de Rabobank is aangetroffen. Daarnaast zijn ook banken in Italië, Duitsland en Engeland de klos. McAfee wil geen banken bij naam noemen.

Het rapport van McAfee gaat dieper in op de innovaties van wat het bedrijf 'Operation High Roller' heeft gedoopt. Het nieuwste fraudesysteem kent twee geraffineerde vernieuwingen: verregaande automatisering van authenticatie en autorisatie van de frauduleuze transactie en het gebruik van servers.

Codes automagisch onderschept
Voorheen moest een crimineel 'live meekijken' met het slachtoffer tijdens de internetbankiersessie om de ingevoerde autorisatiecode te kunnen onderscheppen, vertelt Wim van Campen, vicepresident van McAfee voor Noord-Europa, aan Webwereld.

Het High Roller-systeem vraagt echter meteen als de klant inlogt nogmaals om een inlog- of autorisatiecode, bijvoorbeeld met de smoes van 'verbeterde veiligheid'. Vervolgens krijgt de klant een 'Even geduld a.u.b.' melding te zien, die soms uren kan duren. In die tijd worden de laatst ontfutselde codes gebruikt om de frauduleuze transactie te kunnen voltooien.

Transacties via 60 servers
De tweede innovatie is het veelvuldig gebruik van serverside code. Hierdoor kan de malware die nodig is in de client simpeler zijn, wat detectie kan bemoeilijken, legt Van Campen uit. Het is feitelijk een zeer geavanceerde man-in-the middle aanval, in combinatie met een afgeslankte man-in-the-browser aanval.

"De frauduleuze activiteiten, inclusief het inloggen, worden uitgevoerd vanaf een server die zich bevindt bij een 'bullet-proof' ISP (met een voor criminelen vriendelijk gebruiksbeleid), die volledig is afgeschermd voor wijzigingen en regelmatig wordt verplaatst om ontdekking te voorkomen. Na elke verplaatsing worden de webinjecties bijgewerkt zodat deze verwijzen naar de nieuwe locatie", schrijft McAfee in het rapport.

Slagingspercentage onbekend
Het bedrijf heeft één van de naar schatting zestig van deze servers in handen gekregen. Daaruit blijkt dat er in maart alleen al bijna 36 miljoen euro is afgehaald van 5016 Nederlandse rekeningen van voornamelijk zakelijke klanten.

Als je dit bedrag extrapoleert naar de gehele infrastructuur van de bende, komt het totaalbedrag van de fraudepogingen op 2 miljard euro uit, becijfert McAfee. Het is echter onduidelijk hoeveel geld de bende daadwerkelijk heeft kunnen innen, omdat een onbekend deel van de transacties door de banken of de gedupeerden is teruggedraaid.

De ING bank laat in een reactie weten: "We kennen dit type Trojan, en zitten er bovenop met preventieve detectiemaatregelen. Maar de door McAfee genoemde bedragen en specifieke gerichtheid op zakelijke klanten herkennen we absoluut niet." Rabobank heeft nog niet inhoudelijk gereageerd op de kwestie.