Banking Trojan gebruikt PowerShell

Braziliaanse cybercriminelen maken gebruik van PowerShell om bankrekeningen aan te vallen. Deze maand werd een Trojan-Proxy.PowerShell.Agent.a in Brazilië ontdekt. Volgens Kaspersky Lab is Brazilië het land waar de meeste infecties met Trojaanse paarden voorkomen. Deze infecties worden bovendien steeds ernstiger.

Het Trojaans paard wordt verspreid door een fake e-mailcampagne. De mails lijken op die van een mobiele telefonieprovider maar dan met een malafide .PIF file in de bijlage.

Phishingpagina
Nadat de file is opgestart, worden de proxy-instellingen in Internet Explorer aangepast. Het verkeer wordt daardoor omgeleid naar een phishingpagina wanneer gebruikers de website van hun bank opvragen. Omdat andere browsers vaak de proxy-instellingen van Internet Explorer gebruiken, worden ook de proxy-instellingen van andere browsers op de pc van de gebruiker gewijzigd.

PowerShell
De malware is tot nu toe alleen actief in Brazilië. Als een andere taal dan Braziliaans-Portugees is ingesteld op de pc, wordt de aanval opzettelijk afgebroken door de malware. Omdat de malware gebruikmaakt van de shell- en scripttaal PowerShell, wordt geadviseerd om alleen gesigneerde scripts uit te laten voeren.


Om social media te kunnen gebruiken zijn cookies nodig, schakel deze in om de knoppen te activeren.

Tags: , , , ,

Close