Gevaarlijk trojaans paard gaat achter creditcardhouders aan
Trojan.Win32.Sasfis.vbw doet zich voor als betalingsmelding
G Data's SecurityLab experts waarschuwen voor een nieuwe aanval van malware-spam, die zich richt op internetbankierders en creditcardhouders. In de afgelopen twee dagen hebben cybercriminelen al miljoenen e-mails met valse betalingsmeldingen verstuurd. De scammers vragen de ontvanger of de betaling van een zogenaamd openstaand bedrag moet plaatsvinden zoals gepland. Zo niet, dan kan men met behulp van een bijgesloten programmaatje de betaling annuleren. Het bijgevoegde zip-bestand, “module.zip”, bevat een uitvoerbestand, “module.exe”, dat een trojaans paard installeert zodra het wordt uitgevoerd. De kwaadaardige software heeft als voornaamste doel om creditcardgegevens en inloggegevens voor internetbankieren te stelen. Trojan.Win32.Sasfis.vbw zoekt contact met verschillende servers in de Oekraïne en de Verenigde Staten om de gevonden informatie af te geven en om nieuwe malware te downloaden. Voor deze scam worden de namen van verschillende grote Amerikaanse bedrijven misbruikt, zoals Microsoft, Citrix, Delta Airlines, Starbucks, Yahoo, Novell, Black & Decker.
Ralf Benzmüller, hoofd van G Data’s SecurityLab: “We classificeren deze net ontdekte trojan als zeer gevaarlijk. De aanval past goed binnen de trend die wij de laatste tijd hebben waargenomen: cybercriminelen zijn massaal op zoek naar manieren om consumenten hun creditcard- en internetbankiergegevens afhandig te maken. Het is raadzaam om e-mails waarin gevraagd wordt om willekeurige betalingen niet zomaar te vertrouwen. Nog belangrijker is het om nooit attachments van onbekenden te openen. ”
Screenshot van de mail:
Hoe de scam werkt
Slachtoffers ontvangen per e-mail bericht over een geplande betaling ten gunste van een bekend bedrijf zoals Microsoft, NBC Universal, Black & Decker, Steinway & Sons, Delta Airways, Avis of Jones Soda Co.
De e-mail bevat een bijgevoegd programmaatje met de naam “module.exe”, dat is ingepakt als “module.zip” zip-bestand. Om de betreffende betaling te annuleren, moet de ontvanger dit programmaatje installeren. Het exe.-bestand blijkt een trojaans paard te zijn, dat zichzelf in het computersysteem nestelt. Vervolgens start het in de achtergrond schadelijke operaties op en downloadt het nieuwe malware, die nog meer schade aanbrengt. Bovendien biedt de trojan een zogenaamde backdoor die de cybercriminelen toegang tot het systeem verschaft.
G Data´s antimalwarepakketten detecteren het trojaanse paard al. De experts van het G Data SecurityLab raden iedereen dan ook aan om hun security software altijd up-to-date te houden.
Contact
G Data Software AG
Danielle van Leeuwen
Public Relations Manager Benelux
P.O. Box 92422
1090 AK Amsterdam
The Netherlands
Telefoon: +31 (0)20 8455 163
Fax: +49 (0)234 9762-299
E-mail: danielle.van.leeuwen@gdata.nl
© 2007 - 2010 G Data Software AG. Alle rechten voorbehouden
