Banking Trojan Dridex en Qakbot grootste malwarebedreigingen in maart
IcedID is een misleidende Trojan
30 april 2021 -
Check Point Research (CPR) heeft zijn nieuwste Global Threat Index voor maart 2021 gepubliceerd. Onderzoekers melden dat in Nederland de ‘Dridex’ Banking Trojan en ‘Qakbot’ (ook bekend onder de naam Qbot) in maart de grootste malwarebedreigingen vormden met een impactwaarde van 5.55 procent. Ook wereldwijd vormde Dridex de grootste malwarebedreiging met 16.4 procent.
Banking Trojan Dridex richt zich op het Windows platform en bevat kwaadaardige spamcampagnes en Exploit Kits. De malware wordt naar verluidt gedownload via een e-mailbijlage. Dridex gebruikt Webinjects om bankgegevens te onderscheppen en stuurt deze door naar een gecontroleerde, externe server.
Qbot is ontworpen om bankgegevens en toetsaanslagen van potentiële slachtoffers te stelen. Qbot wordt vaak verspreid via spam e-mails en maakt gebruik van verschillende anti-VM, anti-debugging en anti-sandbox technieken om analyse te belemmeren en detectie te omzeilen.
Toetreding Banking Trojan IcedID
De IcedID banking Trojan staat voor het eerst op de index en neemt de tweede plaats in. De Trojan dook op in september 2017 en heeft zich in maart snel verspreid via verschillende spamcampagnes, waardoor 11 procent van de organisaties wereldwijd werd getroffen. Eén wijdverspreide campagne gebruikte een COVID-19-thema om nieuwe slachtoffers te verleiden tot het openen van schadelijke e-mailbijlagen.
IcedID steelt financiële gegevens van gebruikers zoals accountgegevens, betalingsgegevens en andere gevoelige informatie. Dit gebeurt via zowel omleidingsaanvallen (installeert een lokale proxy om gebruikers om te leiden naar gekloonde nep-sites) als webinjectie-aanvallen (injecteert een browserproces om nep-inhoud te presenteren die bovenop de originele pagina wordt gelegd). De Trojan maakt meestal ook gebruik van andere bekende banking Trojans, waaronder Emotet, Ursnif en Trickbot om zich te verspreiden en wordt gebruikt als de eerste infectiefase in ransomware-operaties.
"IcedID bestaat al een paar jaar, maar wordt de laatste tijd op grote schaal gebruikt, wat aantoont dat cybercriminelen hun technieken blijven aanpassen om organisaties uit te buiten, waarbij ze de pandemie als dekmantel gebruiken," aldus Hans van den Boomen, manager Security Engineer Team bij Check Point. "IcedID is een misleidende Trojan die gebruikmaakt van een reeks technieken om financiële gegevens te stelen. Daarom is een robuust beveiligingssysteem en een training van alle medewerkers om schadelijke e-mails te kunnen identificeren van cruciaal belang."