Volgens securityonderzoeker Rickey Gevers is mogelijk niet Dorifel maar andere malware verantwoordelijk voor de diefstal van bankgegevens van Nederlanders. Dit weekeinde werden zeker 1600 inlogs van Nederlanders die internetbankieren afgevangen door malware en gelogd op de masterserver waarmee ook Dorifel contact maakt. Die masterserver staat vol met allerhande malware, geschikt voor verschillende doeleinden.

Gevers zegt de logfiles op de masterserver alleen geautomatiseerd te hebben gescand en niet handmatig. “Er zouden dus dubbelingen en mislukte inlogs van internetbankierders bij kunnen zitten." Daardoor zou het aantal bankklanten lager kunnen zijn dan de geregistreerde logins, maar onduidelijk is hoeveel dat is. Wel staat volgens hem vast dat degenen die achter het Dorifel-virus zitten ook het brein zijn achter de bankenscam.

Onduidelijkheid over misbruik bankgegevens

Of de gelogde bankgegevens tot daadwerkelijke misbruik heeft geleid, is onduidelijk. “Alleen de banken kunnen dat weten", zegt Gevers. ING, waarvan de meeste klantgegevens zijn gelogd op de masterserver, meldde eerder dat het volgens hen bij een voorlopig onderzoek om “tientallen" klanten zou gaan waarbij misbruik is geconstateerd.

Volgens Gevers zijn er minimaal vier domeinen gekoppeld aan de bankingscam, waarvan er nu twee zeker offline zijn. Aan het offline halen van de twee andere domeinen wordt gewerkt, maar daarmee is volgens hem het gevaar nog niet geweken. “De dreiging is niet weg, nee."

Dorifel bedoeld voor download andere malware

Volgens Mark Lomans van het bedrijf SurfRight werd Dorifel voornamelijk in stelling gebracht om later andere malware te downloaden op besmette machines, maar ging het fout toen het virus documenten besmette die op netwerkshares stonden. Daardoor werden gedeelde documenten geopend door andere gebruikers die vervolgens besmet werden.

Dorifel zocht elk half uur contact met de C&C-server. Door die plotselinge massale activiteit slibte de bandbreedte bij gemeenten en instellingen dicht, zegt hij tegen Security.nl. In een achtergrondartikel gaat Security.nl er vanuit dat de bankgegevens waarschijnlijk door Citadel in plaats van Dorifel worden gekaapt.

Het Nationaal Cyber Security Center is vanmiddag in overleg gegaan met partners over de bestrijding van Citadel en Dorifel en zou later deze dag met meer gegevens komen. Dat is begin deze avond nog niet gebeurd.