{"id":27280,"date":"2021-07-12T08:45:33","date_gmt":"2021-07-12T06:45:33","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=27280"},"modified":"2021-07-12T08:45:33","modified_gmt":"2021-07-12T06:45:33","slug":"icedid-qbot-banking-trojans-in-spam","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/icedid-qbot-banking-trojans-in-spam\/27280\/","title":{"rendered":"Banking trojans in zakelijke documenten"},"content":{"rendered":"<p>Voor werknemers die met honderden e-mails per dag te maken hebben, kan de verleiding groot zijn om bijlagen op de automatische piloot te lezen en te downloaden. Cybercriminelen profiteren hier natuurlijk van, en versturen zogenaamd belangrijke documenten die van alles kunnen bevatten, van <a href=\"https:\/\/www.kaspersky.nl\/blog\/office-365-phishing-via-gdocs\/27019\/\" target=\"_blank\" rel=\"noopener\">phishing-links<\/a> tot malware. Onze experts <a href=\"https:\/\/securelist.com\/malicious-spam-campaigns-delivering-banking-trojans\/102917\/\" target=\"_blank\" rel=\"noopener\">ontdekten<\/a> kortgeleden twee zeer vergelijkbare spam-campagnes die de <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/banker-trojan-banker\/\" target=\"_blank\" rel=\"noopener\">banking trojans<\/a> IcedID en Qbot verspreiden.<\/p>\n<h2>Spam met schadelijke documenten<\/h2>\n<p>Beide e-mails waren vermomd als zakelijke correspondentie. In het eerste geval eisten de aanvallers compensatie voor een verzonnen reden of zeiden ze iets over het annuleren van een operatie. De bijlage van het bericht was een gezipt Excel-bestand met de naam CompensationClaim plus een reeks cijfers. De tweede spam-mailing had te maken met betalingen en contracten en bevatte een link naar de gehackte website waar het archief met het document was opgeslagen.<\/p>\n<p>In beide gevallen was het het doel van de aanvallers om de ontvanger te overtuigen het schadelijke Excel-bestand te openen en de macro erin te runnen, waardoor ofwel IcedID of (minder gebruikelijk) Qbot op het apparaat van het slachtoffer zou worden gedownload.<\/p>\n<p><strong><input type=\"hidden\" class=\"category_for_banner\" value=\"kis-trial-banking\"><\/strong><\/p>\n<h2>IcedID en Qbot<\/h2>\n<p>De banking trojans IcedID en Qbot doen al jarenlang de ronde, en IcedID <a href=\"https:\/\/threatpost.com\/new-icedid-trojan-targets-us-banks\/128851\/\" target=\"_blank\" rel=\"noopener nofollow\">trok voor het eerst de aandacht van onderzoekers<\/a> in 2017, en Qbot is al actief <a href=\"https:\/\/threatpost.com\/qbot-trojan-us-banking-customers\/156624\/\" target=\"_blank\" rel=\"noopener nofollow\">sinds 2008<\/a>. De aanvallers verbeteren daarbij ook nog eens constant hun technieken. Op een bepaald moment hebben ze bijvoorbeeld de hoofdcomponent van IcedID verborgen in een PNG-afbeelding met behulp van een truc die <a href=\"https:\/\/www.kaspersky.com\/blog\/digital-steganography\/27474\/\" target=\"_blank\" rel=\"noopener nofollow\">steganografie<\/a> wordt genoemd en die vrij moeilijk te detecteren is.<\/p>\n<p>Vandaag de dag zijn beide malware-programma\u2019s beschikbaar op de schaduwmarkt en zijn er naast de makers ervan verschillende clients die deze trojans verspreiden. De belangrijkste taak van de malware is het stelen van bankpasgegevens en inloggegevens voor bankrekeningen, bij voorkeur zakelijke rekeningen (vandaar de zakelijk aandoende e-mails). Om hun doel te bereiken, maken de trojans gebruik van verschillende methodes. Zo kunnen ze bijvoorbeeld:<\/p>\n<ul>\n<li>Een schadelijks script in een webpagina injecteren om door de gebruiker ingevoerde gegevens te onderscheppen;<\/li>\n<li>Gebruikers van online bankieren naar een valse inlogpagina doorverwijzen;<\/li>\n<li>Gegevens die in de browser zijn opgeslagen stelen.<\/li>\n<\/ul>\n<p>Qbot kan ook toetsaanslagen loggen om wachtwoorden te onderscheppen.<\/p>\n<p>Helaas is diefstal van betalingsgegevens niet het enige probleem voor slachtoffers. Zo kan IcedID bijvoorbeeld ook nog eens andere malware op ge\u00efnfecteerde apparaten downloaden, waaronder ransomware. De trucs van Qbot zijn onder andere <a href=\"https:\/\/research.checkpoint.com\/2020\/exploring-qbots-latest-attack-methods\/\" target=\"_blank\" rel=\"noopener nofollow\">het stelen van e-mailberichten<\/a> voor gebruik in verdere spamcampagnes, en het bieden van toegang op afstand tot de computers van slachtoffers. Vooral op kantoorcomputers kunnen de consequenties serieuze vormen aannemen.<\/p>\n<h2>Hoe u zich tegen banking trojans beschermt<\/h2>\n<p>Hoe sluw cybercriminelen ook te werk gaan, u hoeft het wiel niet opnieuw uit te vinden om veilig te blijven. Beide spamcampagnes zijn afhankelijk van risicovolle handelingen van de ontvangers, en als zij het schadelijke bestand niet openen en de macro niet laten uitvoeren, zal de truc gewoon niet werken. Tips om te voorkomen dat u hier slachtoffer van wordt:<\/p>\n<ul>\n<li>Controleer de identiteit van de afzender, inclusief de domeinnaam. Iemand die beweert een aannemer of een zakelijke klant te zijn, maar bijvoorbeeld een Gmail-adres gebruikt, kan verdacht zijn. En als u simpelweg niet weet wie de afzender is, vraag dit dan na bij collega\u2019s;<\/li>\n<li>Verbied macro\u2019s standaard en behandel documenten die u verplichten macro\u2019s of andere inhoud in te schakelen met wantrouwen. Voer nooit een macro uit tenzij u er 100% zeker van bent dat het bestand dit nodig heeft en dat het veilig is;<\/li>\n<li>Installeer een <a href=\"https:\/\/www.kaspersky.nl\/advert\/internet-security?icid=nl_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_lnk____kismd___\" target=\"_blank\" rel=\"noopener\">betrouwbare beveiligingsoplossing<\/a>. Als u op een persoonlijk apparaat werkt of als uw werkgever laks is wat betreft de beveiliging van werkstations, moet u ervoor zorgen dat deze beveiligd zijn. Onze producten detecteren zowel IcedID als Qbot.<\/li>\n<\/ul>\n<p><strong><input type=\"hidden\" class=\"category_for_banner\" value=\"kis-trial-banking\"><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Spammers maken gebruik van schadelijke macro&#8217;s om de banking malware IcedID en Qbot in zogenaamd belangrijke documenten te verspreiden.<\/p>\n","protected":false},"author":2477,"featured_media":27281,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[804],"tags":[664,1075,1078,1076,1077,296],"class_list":{"0":"post-27280","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats-2","8":"tag-banking-trojans","9":"tag-icedid","10":"tag-macros","11":"tag-qbot","12":"tag-schadelijke-bijlages","13":"tag-spam"},"hreflang":[{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/icedid-qbot-banking-trojans-in-spam\/27280\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/icedid-qbot-banking-trojans-in-spam\/23048\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/icedid-qbot-banking-trojans-in-spam\/18530\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/icedid-qbot-banking-trojans-in-spam\/25003\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/icedid-qbot-banking-trojans-in-spam\/23011\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/icedid-qbot-banking-trojans-in-spam\/22303\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/icedid-qbot-banking-trojans-in-spam\/25622\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/icedid-qbot-banking-trojans-in-spam\/25092\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/icedid-qbot-banking-trojans-in-spam\/31030\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/icedid-qbot-banking-trojans-in-spam\/9823\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/icedid-qbot-banking-trojans-in-spam\/40552\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/icedid-qbot-banking-trojans-in-spam\/17313\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/icedid-qbot-banking-trojans-in-spam\/15035\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/icedid-qbot-banking-trojans-in-spam\/27052\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/icedid-qbot-banking-trojans-in-spam\/31215\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/icedid-qbot-banking-trojans-in-spam\/24090\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/icedid-qbot-banking-trojans-in-spam\/29425\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/icedid-qbot-banking-trojans-in-spam\/29217\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.nl\/blog\/tag\/banking-trojans\/","name":"banking Trojans"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/27280","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/users\/2477"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/comments?post=27280"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/27280\/revisions"}],"predecessor-version":[{"id":27283,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/posts\/27280\/revisions\/27283"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media\/27281"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/media?parent=27280"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/categories?post=27280"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.nl\/blog\/wp-json\/wp\/v2\/tags?post=27280"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}