Malware ontvreemd pincodes voor Sim Swapping

Gepubliceerd op 29 augustus 2019 om 21:23

Cybersecurity onderzoekers hebben een nieuwe variant van de 'TrickBot-malware' ontdekt die pincodes probeert te ontvreemden om zo het telefoonnummer van het slachtoffer over te nemen. Een aanval die ook wel 'sim-swapping' wordt genoemd. De malware heeft het vooralsnog alleen op Amerikaanse telecomklanten voorzien.

'TrickBot' maakt gebruik van Microsoft Office-documenten met kwaadaardige macro's om zich te verspreiden. Deze documenten worden via e-mail verstuurd. Zodra ontvangers de macro's in het ontvangen document inschakelen wordt 'TrickBot' gedownload. Eenmaal actief kan de malware allerlei wachtwoorden van het systeem stelen en aanvullende malware installeren, waaronder ransomware.

Nieuwe variant

De nieuwe variant die onderzoekers van securitybedrijf Secureworks ontdekten richt zich op klanten van de Amerikaanse telecombedrijven Verizon Wireless, T-Mobile en Sprint. Zodra besmette klanten op de website van hun provider inloggen injecteert de malware op de inlogpagina aanvullende velden die naast het wachtwoord en mobiele telefoonnummer ook om de pincode vragen. De gegevens worden vervolgens naar de aanvallers doorgestuurd.

Malafide inlogscherm

Echt inlogscherm

Extra pagina toegevoegd om zo je pincode te bemachtigen

Sim Swapping

Met deze pincode is het mogelijk om het mobiele nummer van het slachtoffer over te zetten naar een andere simkaart, die reeds in het bezit is van de aanvaller is. Vervolgens is het mogelijk om wachtwoorden van accounts te resetten of twee-stappen-verificatie codes te ontvangen. Secureworks raadt het gebruik van twee-stappen-verificatie via sms af. In plaats daarvan wordt time-based one-time password (TOTP) twee-stappen-verificatie aangeraden (tweestapsverificatie-app). Tevens krijgen gebruikers het advies om telefoonnummers niet als wachtwoord reset optie voor belangrijke accounts te gebruiken.

De geïnjecteerde code activeert de record (rcrd) functionaliteit van 'TrickBot'. Deze functionaliteit creëert een extra HTTP-verzoek met de gebruikersnaam, het wachtwoord en de pincode van het slachtoffer dat naar de 'TrickBot C2-server' wordt verzonden. 

Door deze cybercrime truc kan een cybercrimineel de volledige controle van het telefoonnummer van het slachtoffer overnemen, inclusief alle inkomende en uitgaande tekst- en spraakcommunicatie. Het onderscheppen van op SMS met bijvoorbeeld de twee-stappen-verificatie codes.

Bron: security, secureworks

Reactie plaatsen

Reacties

Er zijn geen reacties geplaatst.