Nieuwe malware voor de Mac leidt gebruikers naar nepversies van sites zoals eBay, PayPal en een aantal banken, in de hoop hun gebruikersnamen, wachtwoorden, rekening- en/of creditcardnummers te achterhalen. De Nederlands Vereniging van Banken (NVB) is juist een voorlichtingscampagne begonnen over veilig internetbankieren.
Trojan OSX/DNS Changer houdt zich schuil op diverse pornosites. Wanneer gebruikers daar op video's klikken, krijgen ze de boodschap dat de video pas kan worden afgespeeld nadat een nieuwe codec is gedownload. Wanneer gebruikers hier toestemming voor geven, wordt Trojan OXS/DNS Changer naar hun systeem gedownload.
Het Trojaanse paard is toegesneden op het misbruiken van gebruikers van Apples Mac OSX 10.x. Wanneer deze gebruikers de vermeende codec op hun systeem installeren, wijzigt de malware het adres van de DNS-server. Wanneer gebruikers vervolgens naar sites zoals eBay, PayPal of sommige banksites surfen, leidt een vervalste DNS-server hen naar nepsites. Vervolgens kunnen gebruikersnamen, wachtwoorden, rekening- en creditcardnummers afgevangen worden. Volgens Intego, het beveiligingsbedrijf dat de malware ontdekte, zijn er verschillende versies van het Trojanse paard in omloop, gericht op verschillende landen en wisselende websites.
Onder Mac OSX 10.4 kunnen gebruikers nergens achterhalen dat hun DNS-server gewijzigd is. Onder Mac OSX 10.5 kan dat wel: onder de "Advanced Network preferences" zijn nieuwe DNS-servers te zien, die echter niet handmatig te verwijderen zijn.
Campagne
De Nederlands Vereniging van Banken (NVB) is gisteren juist een voorlichtingscampagne gestart over veilig internetbankieren onder de naam 3xkloppen. De NVB roept consumenten op hun computer te beveiligen met een firewall en recente antivirus- en antispamsoftware, bij elk bankbezoek te controleren of het om een beveiligde verbinding gaat en het beveiligingscertificaat van de site geldig is, en bij- en afschrijvingen regelmatig te controleren.
De nieuwste trend op het gebied van malware voor online bankieren richt zich overigens niet op het vervalsen van DNS-servers, maar vindt volledig plaats op de computer van de gebruiker. Criminelen voegen via deze 'man in the browser'-aanvallen bijvoorbeeld extra overschrijvingen toe aan een lijst met betalingsopdrachten, zonder dat deze overschrijvingen op het scherm zichtbaar worden gemaakt. Het Trojaanse paard wijzigt namelijk de opdrachten van de gebruiker onzichtbaar op de achtergrond en manipuleert ook de reactie van de bank, waardoor op het scherm niets te zien is. De malware die hiervoor gebruikt wordt is online te koop bij veelal Russische leveranciers.