Berlin/San Jose (pte/30.09.2009/11:55) – Forscher der Security-Firma
Finjan http://www.finjan.com sind einem neuen Supertrojaner auf die Spur
gekommen, der es insbesondere auf die Bankdaten und das Geld seiner
Opfer abgesehen hat. Dabei geht die auf dem Toolkit LuckySpoilt
basierende Malware “URLzone” so gevieft vor, nur einen gewissen
Prozentsatz des auf einem Konto befindlichen Vermögens zu klauen, um
nicht so schnell aufzufallen. Zusätzlich klinkt sie sich beim
Online-Banking in den Browser ein und zeigt falsche Kontostände an, um
den User in Sicherheit zu wiegen. Der Bank-Trojaner, der im übrigen auch
in anderen Web-Accounts wie PayPal, Gmail und Facebook herumschnüffelt,
besitzt Funktionen, die eigens dafür entwickelt wurden,
Security-Software zu täuschen.
“Es handelt sich um einen Bank-Trojaner der nächsten Generation. Das ist
Teil des neuen Trends, immer fortschrittlichere Malware zu
programmieren, die für das Austricksen von Sicherheitssystemen optimiert
ist”, sagt Ben Itzhak von Finjan. Auch der Sicherheitsexperte Toralv
Dirro von McAfee http://www.mcafee.com stimmt ihm zu. “Der Trend geht
eindeutig hin zu aufwändigeren Trojanern. Kriminelle Gruppen entwickeln
das ganz gezielt weiter, heute arbeitet eine ganze Reihe von Trojanern
so wie der Beschriebene. Man kann das als eine Art Wettrüsten zwischen
den Cyberkriminellen, Banken und der Sicherheitsindustrie
interpretieren”, sagt er im pressetext-Gespräch.
Zielgruppe des Trojaners waren die Kunden einiger deutscher Banken, die
man vonseiten Finjans nicht nennen wollte. Insgesamt wurden mithilfe des
Trojaners rund 300.000 Euro erbeutet. “Das halte ich noch für relativ
wenig Beute, was wahrscheinlich an der relativ geringen Zahl der
Infektionen lag. Normalerweise werden aber auch keine Informationen über
die Höhe des finanziellen Schadens bekannt gegeben”, so Dirro. Die
Server, von der die Malware gesteuert wurde, konnten in der Ukraine
lokalisiert werden. “Das läuft über sogenannte Bulletproof-Hoster. Die
gibt es weltweit. Sie sind teurer als andere Hoster und lassen ihre
Kunden dafür hosten, was sie wollen. Sie behaupten, der Inhalt der
Server sei Sache der Kunden und gehe sie nichts an”, sagt der Experte.
Die deutschen Behörden sind informiert.
Die Finjan-Mitarbeiter schafften es, die Kommunikation des Trojaners auf
einem infizierten System abzuhören und auf diese Art den Kommandoserver
aufzuspüren. Diesen hatten die Cyberkriminellen unvorsichtigerweise
nicht ausreichend gesichert, wodurch die Security-Experten allerlei
Daten über den Trojaner beschaffen konnten, darunter auch Statistiken zu
den Infektionen. Insgesamt sollen rund 90.000 Computer die Seiten, auf
denen der Schädling gehostet war, besucht haben. Davon infizierten sich
6.400 mit der Malware – eine Erfolgsquote von 7,5 Prozent. Von ein paar
hundert der infizierten Computer wurde tatsächlich Geld gestohlen,
insgesamt etwa 300.000 Euro. Nach 22 Tagen verschwand der Trojaner Ende
August wieder – offenbar hatten die Cyberkriminellen bemerkt, dass man
ihnen auf der Spur war.
Infiziert wurden die Computer auf zwei verschiedene Methoden. Zum einen
erhielten Opfer E-Mails, in denen Links enthalten waren, die sie auf
eine zur Verbreitung des Trojaners erstellte Website lotsten. Die zweite
Möglichkeit, sich den Trojaner einzufangen, war der Besuch von durch die
Malware unterwanderten Internetseiten. So oder so, der Schädling nutzte
eine bekannte Sicherheitslücke in gängigen Internetbrowsern aus, um sich
auf der Festplatte des Opfers einzunisten und dort bis zum Aufruf der
Internetseiten der Zielbanken in eine Art Schläfermodus zu verfallen.
Startet der User Online-Banking-Dienste, wird die Malware aktiv. Sie
kapert den Browser, analysiert den Kontostand, ermittelt einen Betrag,
der ohne großes Aufsehen entwendet werden kann und überweist diesen auf
das Konto eines Strohmanns, der einen kleinen Anteil an den erbeuteten
Summen erhält. Anschließend wird der vom User beim Besuch der
Banken-Website eigentlich erwartete Kontostand eingeblendet, wodurch
dieser keinen Verdacht schöpft – zumindest solange er sich für seine
Bankgeschäfte ausschließlich auf dem infizierten Computer anmeldet. Die
Verwendung von Strohmännern scheint bei derartigen Angriffen gängige
Praxis zu sein. “Diese sogenannten Mules sind ebenfalls Opfer. Das sind
Leute, die auf dubiose Jobangebote als Finanzagent reinfallen. Sie
werden in den meisten Fällen erwischt und wegen Geldwäsche angezeigt”,
weiß Dirro. Den Hintermännern ist freilich sehr viel schwerer
beizukommen. (Ende)
Aussender: pressetext.deutschland
Redakteur: Dominik Erlinger
Tags: ganoven, gauner, it-betrüger, trojaner