Type virus: Advanced Persistent Threat (APT), trojan, malware.
Metel is een banktrojan (die ook wel bekend staat als Corkow) en werd ontdekt in 2011, toen de trojan werd gebruikt voor aanvallen op gebruikers van online bankdiensten. In 2015 begon de Metel-bende zich rechtstreeks op banken en financiële instellingen te richten.
Na het infectiestadium gebruiken criminelen legitieme tools en pentests om wachtwoorden te stelen van hun aanvankelijke slachtoffers (instappunt). Zo krijgen ze toegang tot de computers binnen de organisatie die worden gebruikt voor geldtransacties. Op deze manier heeft de bende een slimme truc kunnen uitvoeren door het terugdraaien van geldautomaattransacties te automatiseren. Dit betekent dat geld kan worden gestolen uit geldautomaten via pinpassen, zonder dat het saldo op de kaart verandert. Op deze manier kunnen er meerdere transacties bij verschillende geldautomaten uitgevoerd worden.
De slachtoffers die waren beperkt tot de banken en financiële instellingen.
Voor de aanvallers zijn de belangrijkste doelen binnen deze organisaties:
Tot op heden hebben Kaspersky Lab-onderzoekers alleen aanvallen in Rusland geïdentificeerd. Toch zijn er redenen om aan te nemen dat de infectie veel wijder verbreid is. Banken over de hele wereld wordt dan ook aangeraden om proactief te controleren op infectie.
Kaspersky Lab-producten zijn succesvol in het detecteren en blokkeren van de malware die met de volgende detectienamen gebruikt wordt door Metel:
Trojan-Dropper.Win32.Metel; Backdoor.Win32.Metel; Trojan-Banker.Win32.Metel
Indicatoren van een gecompromitteerd systeem vind je ook in een blogpost op Securelist.
Om de beveiliging te verhogen wordt bedrijven aangeraden System Watcher te gebruiken inclusief de BSS-module (Behavior Stream Signatures). Deze oplossing zit in alle moderne producten en oplossingen.
Zorg er voor de zekerheid voor dat je gebruikmaakt van geavanceerde anti-malwareoplossingen zoals Kaspersky Endpoint Security for Business. Let er ook op dat je bewust met cyberveiligheid omgaat om ervoor te zorgen dat je phishingmails kunt herkennen in je inbox.
Het aanbieden van meerdere lagen met krachtige endpointbeveiliging is natuurlijk niet genoeg. Spearphishing is één van de populairste technieken voor initiële infectie en maakt betrouwbare mailbeveiliging noodzakelijk. Kaspersky Security for Mail Server scant binnenkomende e-mails op schadelijke bijlagen en URL's, waardoor de malware minder vaak aankomt.