Malware steelt al een jaar lang inloggegevens voor bankapps
Onderzoekers bij IBM Security hebben een stuk code ontrafeld dat inloggegevens stal van duizenden gebruikers. De malware werd in 2023 alleen al gebruikt om 50.000 verschillende sessies te kapen, bij applicaties van 40 verschillende banken wereldwijd. Net als in Noord- en Zuid-Amerika en Japan worden ook Europese instellingen getroffen.
Het gaat om code die sterk lijkt op de Windows-malware DanaBot. Die malware dringt het systeem binnen, wat kan gebeuren door op een spammail te klikken. Daarna ligt de software geduldig op de loer tot je de website van je bank bezoekt. Zodra je op die pagina bent aanbeland, injecteert de malware kwaadaardige JavaScript-code in de webpagina. Die code wordt uitgevoerd zonder dat gebruikers er iets van merken en is in staat om inloggegevens te onderscheppen. Die inloggegevens kunnen daarna voor flink wat geld verkocht worden op de zwarte markt.
De hackers in kwestie zijn al sinds december 2022 bezig met het project. In 2022 kochten ze de domeinnamen die de JavaScript-code gebruikt om zijn werk te kunnen doen. Kort daarna vielen de eerste slachtoffers. Ook vandaag blijkt het probleem niet opgelost: tot op de dag van vandaag blijven er inloggegevens gestolen worden.
Webpagina van de bank
De JavaScript-injector kan zien wanneer je de website van een bank bezoekt. De meeste bankwebsites hebben, omwille van de veiligheid, een gelijkaardige structuur. De malware is in staat om die structuur te herkennen en weet dus exact wanneer het kwaadaardige code moet injecteren. “Als op een website een bepaald sleutelwoord en een knop met een bepaald ID voorkomen, wordt er nieuwe kwaadaardige content geïnjecteerd”, zegt onderzoeker Tal Langus erover op de website van IBM Security. Eenmaal de JavaScript-code actief is, kunnen hackers als het ware meekijken op de webpagina.
Op die manier kunnen ze niet alleen normale wachtwoorden ontfutselen, maar kunnen ze ook one-time password-tokens (OTP-tokens) ontvreemden. Die inlogmethode zou bezoekers moeten beschermen voor hackers, maar blijkt niet altijd waterdicht. De JavaScript-code is zelfs in staat om telefoonnummers en 2FA-codes te onderscheppen.
De malware doet er bovendien alles aan om onopgemerkt te blijven. Zo kan de JavaScript-code ervoor zorgen dat je een melding te zien krijgt. Die melding zal je vertellen dat de bankdiensten twaalf uur lang onbereikbaar zijn door onderhoud. In feite moet die melding de hackers vooral de tijd geven om je rekening te plunderen. Eenmaal het kwaad geschied is, is de malware ook in staat om zijn sporen uit te wissen. Kortom: slachtoffers zijn hun geld kwijt, maar verder lijkt het alsof er niets gebeurd is.
Voorkomen
Om ervoor te zorgen dat je zelf geen slachtoffer wordt, kan je eigenlijk maar één ding doen: voorzichtig zijn. Klik daarom niet op links in verdachte mails en download niet zomaar bestanden van het internet, maar zorg er steeds voor dat je de bron vertrouwt. Hergebruik daarnaast ook nooit je wachtwoorden, maar verzin voor elk account een nieuw. Op die manier kan je jouw pc beschermen van de DanaBot-malware, en dus ook je bankrekening uit handen van internetcriminelen houden.
