-Mimikama unterstützen -

Gemeinsam gegen Fakes, Fake-News und anderen Unwahrheiten im Internet. Bitte hilf mit!

-Produktempfehlung: Kaspersky lab-

Derzeit wird davon ausgegangen, dass sich das Aufkommen von Banking-Malware gegenüber dem vorherigen Jahr verdoppelt. Bank-Trojaner infizieren erfolgreich Rechner, stehlen die Anmeldeinformationen der Benutzer und buchen später deren Geld ab.

Heutzutage benutzen Malware-Autoren anspruchsvollere Techniken mit dem Ziel, möglichst vielen Opfern Geld zu stehlen.

Banking-Malware mit Netzwerk-Sniffern (Schnüfflern)

Sicherheitsforscher der Anti-Viren-Firma Trend Micro haben entdeckt, dass es eine Malware-Variante gibt, die nicht nur die Nutzerinformationen über den infizierte Rechner stiehlt, sondern die auch die Fähigkeit hat, ebenfalls sensible Informationen anderer Benutzer im selben Netzwerk auszuspähen.

Die Banken-Malware EMOTET breitet sich schnell über Spam-Emails aus, die sich als Banküberweisungen oder Versandrechnungen tarnen. So eine Spam-Mail kommt mit einem Link, auf den der Benutzer leichtfertig klickt, wenn er denkt, das die Email sich auf seine Finanztransaktionen bezieht.

Einmal angeklickt, installiert sich die Malware im System des Benutzers und lädt selbständig eine Konfigurations- sowie eine DLL-Datei herunter. Die Konfigurationsdatei enthält Informationen über Banken, derer Daten die Malware abgreift, während die DLL-Datei zum Abfangen und Protokollieren der ausgehenden Netzwerkskommunikation zuständig ist.

Die DLL-Datei nistet sich in alle Prozesse des Systems, also auch in den Browser, ein und „vergleicht die Webseiten, auf die zugegriffen wird mit der zuvor heruntergeladenen Konfigurationsdatei“ schrieb Joie Slavio, Sicherheitsexperte bei Trend Micro. Stimmen diese überein, fängt die Malware an Informationen zusammen, indem sie die URL und die gesendeten Daten speichert.

Verschlüsselte gestohlene Daten

Inzwischen hat die Malware die gestohlenen Daten in einzelnen Einträgen verschlüsselt, was bedeutet, dass die Malware bestimmte Informationen stehlen und speichern kann, die der Angreifer haben will.

„Die Entscheidung für die Speicherung von Daten in den Registry-Einträgen kann als Umgehungsmethode gesehen werden“ sagte Salvio. „Normale Nutzer überprüfen nicht oft, ob Registrierungseinträge möglicherweise schädliche oder verdächtige Aktivitäten verusachen könnten, im Gegensatz zur Kontrolle von neuen oder ungewöhnlichen Dateien. Es kann aber  auch als Gegenmaßnahme der dateibasierenden AV-Erkennung dienen“

HTTPS-Verbindung getäuscht

Des Weiteren besitzt die Malware die Fähigkeit, sichere HTTPS-Verbindungen zu umgehen. Dies bedeutet eine große Gefahr für PERSÖNLICHE Daten und Bankanmeldeinformationen der Nutzer, die sich während während des Online-Banking sicher wähnen, während ihre Informationen gestohlen werden.

image

„Es hat die Fähigkeit, sich an folgende Netzwerk-APIs an zu hängen, um den Netzwerkverkehr zu überwachen: PR_OpenTcpSocket PR_Write PR_Close PR_GetNameForIndentity close Connect WSASend senden“

(Anmerkung der ZDDK-Redaktion: API steht für „Application Programming Interface“, eine Schnittstelle um eine Bibliothek mit Funktionen – in diesem Fall für verschlüsselte Übertragungen – nutzen zu können. Die hier aufgelisteten Funktionalitäten sind für den Datenaustausch zwischen Client (Nutzer) und Server (Online-Banking-Seite) sowie für die Identifizierung des Bankkunden zuständig.)

Frühere Bank-Malware hat sich oft auf Formularfeldeingaben oder auf Phishing-Seiten verlassen, um die Bankdaten des Nutzers zu stehlen. Die Verwendung von Netzwerk-Sniffing macht die Bedrohung noch schlimmer für die Nutzer, da kaum verdächtige Aktivitäten und Änderungen am Rechner sichtbar sind, sagte der Forscher. Wie die gesammelten gestohlene Dateien des Malware-Sniffers von dem Computer an den Angreifer geschickt werden, wird derzeit noch untersucht.

Verbreitung von Malware auf der ganzen Welt

Die Infektionen sind grundsätzlich nicht auf eine bestimmte Regionen oder auf ein Land beschränkt. Auf EMOTET basierende Malware-Familien zielen allerdings auf Nutzer in der EMEA-Region (Europa, der Nahe Osten, Afrika und speziell Deutschland) ab.

Benutzern wird empfohlen, keine Anhänge oder Links von verdächtigen Mails zu öffnen. Sofern Sie eine Nachricht von Ihrem Kreditinstitut erhalten, so überprüfen Sie doppelt, ob es sich wirklich um eine Mail des Kreditinstituts handelt, bevor sie fortfahren.

(Anmerkung der ZDDK-Redaktion: Uns ist kein Kreditinstitut bekannt, das brisante oder vertrauliche Daten als E-Mail Anhang versendet. Kontoauszüge, Benachrichtigungen, etc. finden sich meist in einem speziellen Nachrichten-Bereich des Onlinebanking-Portals. Ebenfalls fragt kein Kreditinstitut sensible Informationen per Mail ab oder fragt nach PIN oder Passwörtern. Im Zweifel kann ein kurzer Anruf bei Ihrer Bank Klarheit bringen!

Quelle: http://thehackernews.com/2014/06/new-banking-malware-with-network.html

Autoren / Übersetzung: Maximilian H., Nils F., Rüdiger Reinhardt

aktualisiert am 30.06.2014, 13:52 (verbesserte Formulierung der Übersetzung, Anmerkungen hinzugefügt)