Banking trojans in zakelijke documenten

Spammers maken gebruik van schadelijke macro’s om de banking malware IcedID en Qbot in zogenaamd belangrijke documenten te verspreiden.

Voor werknemers die met honderden e-mails per dag te maken hebben, kan de verleiding groot zijn om bijlagen op de automatische piloot te lezen en te downloaden. Cybercriminelen profiteren hier natuurlijk van, en versturen zogenaamd belangrijke documenten die van alles kunnen bevatten, van phishing-links tot malware. Onze experts ontdekten kortgeleden twee zeer vergelijkbare spam-campagnes die de banking trojans IcedID en Qbot verspreiden.

Spam met schadelijke documenten

Beide e-mails waren vermomd als zakelijke correspondentie. In het eerste geval eisten de aanvallers compensatie voor een verzonnen reden of zeiden ze iets over het annuleren van een operatie. De bijlage van het bericht was een gezipt Excel-bestand met de naam CompensationClaim plus een reeks cijfers. De tweede spam-mailing had te maken met betalingen en contracten en bevatte een link naar de gehackte website waar het archief met het document was opgeslagen.

In beide gevallen was het het doel van de aanvallers om de ontvanger te overtuigen het schadelijke Excel-bestand te openen en de macro erin te runnen, waardoor ofwel IcedID of (minder gebruikelijk) Qbot op het apparaat van het slachtoffer zou worden gedownload.

IcedID en Qbot

De banking trojans IcedID en Qbot doen al jarenlang de ronde, en IcedID trok voor het eerst de aandacht van onderzoekers in 2017, en Qbot is al actief sinds 2008. De aanvallers verbeteren daarbij ook nog eens constant hun technieken. Op een bepaald moment hebben ze bijvoorbeeld de hoofdcomponent van IcedID verborgen in een PNG-afbeelding met behulp van een truc die steganografie wordt genoemd en die vrij moeilijk te detecteren is.

Vandaag de dag zijn beide malware-programma’s beschikbaar op de schaduwmarkt en zijn er naast de makers ervan verschillende clients die deze trojans verspreiden. De belangrijkste taak van de malware is het stelen van bankpasgegevens en inloggegevens voor bankrekeningen, bij voorkeur zakelijke rekeningen (vandaar de zakelijk aandoende e-mails). Om hun doel te bereiken, maken de trojans gebruik van verschillende methodes. Zo kunnen ze bijvoorbeeld:

  • Een schadelijks script in een webpagina injecteren om door de gebruiker ingevoerde gegevens te onderscheppen;
  • Gebruikers van online bankieren naar een valse inlogpagina doorverwijzen;
  • Gegevens die in de browser zijn opgeslagen stelen.

Qbot kan ook toetsaanslagen loggen om wachtwoorden te onderscheppen.

Helaas is diefstal van betalingsgegevens niet het enige probleem voor slachtoffers. Zo kan IcedID bijvoorbeeld ook nog eens andere malware op geïnfecteerde apparaten downloaden, waaronder ransomware. De trucs van Qbot zijn onder andere het stelen van e-mailberichten voor gebruik in verdere spamcampagnes, en het bieden van toegang op afstand tot de computers van slachtoffers. Vooral op kantoorcomputers kunnen de consequenties serieuze vormen aannemen.

Hoe u zich tegen banking trojans beschermt

Hoe sluw cybercriminelen ook te werk gaan, u hoeft het wiel niet opnieuw uit te vinden om veilig te blijven. Beide spamcampagnes zijn afhankelijk van risicovolle handelingen van de ontvangers, en als zij het schadelijke bestand niet openen en de macro niet laten uitvoeren, zal de truc gewoon niet werken. Tips om te voorkomen dat u hier slachtoffer van wordt:

  • Controleer de identiteit van de afzender, inclusief de domeinnaam. Iemand die beweert een aannemer of een zakelijke klant te zijn, maar bijvoorbeeld een Gmail-adres gebruikt, kan verdacht zijn. En als u simpelweg niet weet wie de afzender is, vraag dit dan na bij collega’s;
  • Verbied macro’s standaard en behandel documenten die u verplichten macro’s of andere inhoud in te schakelen met wantrouwen. Voer nooit een macro uit tenzij u er 100% zeker van bent dat het bestand dit nodig heeft en dat het veilig is;
  • Installeer een betrouwbare beveiligingsoplossing. Als u op een persoonlijk apparaat werkt of als uw werkgever laks is wat betreft de beveiliging van werkstations, moet u ervoor zorgen dat deze beveiligd zijn. Onze producten detecteren zowel IcedID als Qbot.

Tips