De zogeheten masterserver van het Dorifel-virus host phishingwebsites voor de vier grootste Nederlandse banken, ING, Rabobank, ABN Amro en SNS Bank. Het bedrijf Digital Investigation zegt de logbestanden van de server te hebben ingezien en trof de gegevens aan van 17 klanten van de Rabobank, 15 van SNS, 49 van ABN Amro en 468 van ING. De banken zijn inmiddels door het bedrijf op de hoogte gesteld.

Volgens Digital Investigation is deze bankscam de reden dat Dorifel zich vooral in Nederland heeft verspreid. Het bedrijf zegt dat uit de analyse van de masterserver naar schatting tienduizenden computers in Nederland zijn besmet. "Het aantal nieuwe loggings op de masterserver was zaterdag 80 per uur. Dat zijn nieuwe bankgegevens die buit zijn gemaakt. Zo kan je een schatting van het aantal infecties maken", zegt Rickey Gevers van Digital Investigation.

Die schatting gaat ver boven de eerdere registratie van 3000 besmettingen die door Fox-IT en Kaspersky werden gemeld. Dorifel kwam voornamelijk in het nieuws door de plotselinge besmetting van Office-documenten bij gemeenten, provincies en andere instellingen. De relatie met het botnet van Zeus/Citadel werd snel gemaakt.

Dorifel breidt zombies Citadel verder uit

“Dorifel is vooral gebruikt om de restanten van het Citadel/Zbot botnet weer nieuw leven in te blazen en het aantal zombie computers verder uit te breiden", schrijft het bedrijf op de eigen website. “De uitbreiding van het Citadel/Zbot waarschijnlijk vooral bedoeld om deze phishing banking websites te distribueren via de door Dorifel besmette computers."

Volgens Digital Investigation moeten mensen het IP-adres 158.255.211.28 en de hosts van het domein bank-auth.org blokkeren in hun firewall. “Daarnaast is het blokkeren van IP-adres 184.82.107.86 gewenst aangezien deze gebruikt gaat worden of inmiddels al wordt gebruikt om nieuwe malware te verspreiden."

Nog meer onontdekte masterservers

Volgens Rickey Gevers van Digital Investigation is het moeilijk te zeggen of de tienduizenden besmettingen met Dorifel al besmet zijn of worden met Citadel. “We kunnen helaas niet zien met welke malware ze besmet zijn, maar zien alleen de transacties."

Gevers benadrukt dat de domeinen die nu in een sinkhole zijn beland en de nu ontdekte masterserver niet de enige zijn waarmee de malware contact kan maken en zal maken. “Er zijn nog meer masterservers en die zoeken we nu." Door die nog niet gevonden masterservers lopen bankklanten in de komende dagen en weken nog steeds risico.

Gevers schrijft op zijn eigen blog dat de bende die achter de aanval zit onder meer een beveiligingscertificaat heeft gekregen voor https://bank-auth.org, "wat aangeeft dat ze er wat belangrijks mee gaan doen." Gevers heeft een mirror gemaakt van de masterserver en alle logs en admin wachtwoorden buitgemaakt. Die heeft hij doorgegeven "aan de juiste mensen."

Update 12.52: Toegevoegd het aantal logins met nieuwe bankgegevens per uur, gemeld door Rickey Gevers.