Von einem ursprünglich harmlosen und simplen Tool hat sich Webinject mittlerweile zu einem komplexen und ausgeklügelten Biest entwickelt, das von böswilligen Hackern für kriminelle Zwecke missbraucht wird. Und zwar in einem solchen Ausmaß, dass sie in den vergangenen Jahren zu einer echten und stetig zunehmenden Bedrohung für Nutzer, Banken und Finanzinstitutionen geworden sind.

Immer häufiger ergänzen Cyberkriminelle ihre Banking-Trojaner durch maßgeschneiderte Webinject-Kits, um an die Daten und das Geld ihrer Opfer zu gelangen. In diesem Artikel wollen wir ihre Entwicklung einmal etwas genauer unter die Lupe nehmen.

Die ursprüngliche Idee

Webinject ist ein kostenloses Open-Source-Tool, das ursprünglich für die automatische Prüfung von Web-Anwendungen und -Diensten entwickelt wurde. Innerhalb der letzten 20 Jahre wurde es häufig von Sicherheits-Researchern genutzt, um Komponenten von Web-Systemen mit HTTP-Schnittstellen zu testen.

Es gibt viele Möglichkeiten, auf Webseiten, Web-Anwendungen oder -Diensten Code-Injektionen vorzunehmen. Deshalb ist es für Web-Administratoren von zentraler Bedeutung, diese Bereiche auf ihre Belastbarkeit und Sicherheit hin zu überprüfen.

Zweckentfremdung

Nun wurden allerdings auch Cyberkriminelle auf den Plan gerufen, Webinject mit ihren Banking-Trojanern zu kombinieren, um ihre hinterlistigen Ziele zu erreichen. So integriert manch ein böswilliger Hacker Webinject-Dateien in seine Malware, um die Chancen eines erfolgreichen Datendiebstahls zu erhöhen. Das ist sogar bei den meisten Banking-Trojanern der letzten Jahre der Fall.

Bei diesen Webinject-Dateien handelt es sich im Grunde um Text-Dateien mit einer Menge von JavaScript- und HTML-Code. Die Kriminellen nutzen diesen Code, um die vom Opfer aufgerufene Webseite in Echtzeit zu manipulieren.

In Verbindung mit einem Banking-Trojaner werden durch die Code-Injektion beispielsweise auf einer legitimen Webseite gefälschte Pop-Ups angezeigt oder andere Inhalte hinzugefügt bzw. entfernt. Dabei ist der ideale Zeitpunkt für Angreifer natürlich, wenn sich das Opfer gerade mit seinen Bankgeschäften auseinandersetzt.

Das Ziel der Kriminellen besteht darin, die Webseite völlig normal aussehen zu lassen, während sie in aller Ruhe Zugangsdaten und Bankinformationen abzapfen. Manche Kits halten Ausschau nach Zugangsdaten, wenn sich ein Nutzer bei seiner Banking-Seite anmeldet. Oder aber der Nutzer wird aufgefordert, eine bestimmte Geldsumme zu überweisen. Hierbei werden zusätzlich Social Engineering Tricks eingesetzt, um dem Opfer weiszumachen, dass eben jene Summe aus Versehen auf seinem Konto gelandet ist und zurücküberwiesen werden müsse.

Evolution von Webinjects

„Die Technik ist ziemlich alt, hat sich innerhalb der letzten Jahre allerdings deutlich entwickelt“, schrieb Jean-Ian Boutin, Malware-Researcher bei ESET, in einem Blog über sein Paper mit dem Titel Evolution of Webinjects. In diesem Paper, das er im vergangenen Jahr auf der 24sten Virus Bulletin Conference in Seattle vorgestellt hat, ist er der Frage nachgegangen, wie sich Webinjects entwickelt haben.

„Normalerweise laden die Banking-Trojaner irgendeine Form von Webinject-Konfigurationsdatei herunter, die sowohl das Ziel als auch den Inhalt, der auf die anvisierte Webseite injiziert werden soll, enthält”, fährt er fort.

„Manche Webinjects versuchen, persönliche Informationen des Nutzers zu stehlen, indem in ein bestehendes Formular zusätzliche Felder eingefügt werden. Damit wird also eine Art Phishing-Seite erzeugt. Andere Varianten sind jedoch viel komplexer und versuchen, automatische Überweisungen vom Konto des Opfers an gefälschte Accounts herbeizuführen.“

Vielseitig und hoch spezialisiert

Die rapide Entwicklung von Webinject hat dieses Tool also zu einem Handelsgut gemacht, das in Untergrund-Foren ver- und gekauft wird – teilweise sogar explizit auf die Anforderungen der Cyberkriminellen zugeschnitten, die es insbesondere auf Banking-Seiten abgesehen haben.

Darüber hinaus sind die Autoren solcher Webinject-Software mittlerweile so geschickt, maßgeschneiderte Kits zu einem Bruchteil der Kosten von früher zu produzieren, wobei diejenigen mit ganz besonderen Funktionen – z.B. auf ein Bankkonto zuzugreifen und Informationen darüber an den C&C-Server der Kriminellen zu senden – natürlich etwas teurer sein können. Aber mit dem potenziellen Gewinn vor den Augen sind einige Angreifer bereit, diesen finanziellen Aufwand in Kauf zu nehmen.

Zwar verfügen Banken und Finanzinstitutionen über ihre eigenen Sicherheitssysteme, allerdings können Webinjects so angepasst werden, um eben jene Sicherheitsmechanismen zu überwinden oder umgehen. Es wäre ein großer Fehler, diese Tatsache zu unterschätzen – der Erfolg von Schwarzmärkten, auf denen mit solchen Kits gehandelt wird, verdeutlicht, dass sich Webinjects zu einem überaus beliebten Tool entwickelt haben und so schnell wohl nicht von der Bildfläche verschwinden werden.