Im Zeichen des Bösen: Banking-Trojaner und ihre Handlanger

Genauso wie Superschurken in Comics und Filmen immer eine rechte Hand haben, sind auch Banking-Trojaner auf Hilfskräfte angewiesen. Denn bevor es ans Eingemachte geht, gilt es zunächst, den Weg zum System frei zu räumen.

Banking-Trojaner gehören schon länger zu den üblichen, verdächtigen Schädlingen, die weltweit Tausende von Rechnern infizieren. Über die Malware versuchen Cyberkriminelle, Zugriff aufs System ahnungsloser Anwender zu erlangen, um Zugangsdaten und Bankinformationen zu erbeuten. Doch zur Erreichung ihres Ziels müssen sie in den meisten Fällen Trojaner-Downloader, Webinject-Dateien etc. in den Dienst nehmen. Die folgenden vier Beispiele gehören dabei zu einer besonders üblen Sorte.

Waski & Dyre

shutterstock_112849948

Bei Waski handelt es sich nicht um einen Banking-Trojaner, sondern um ein Schadprogramm, das den Download eines Banking-Trojaners auf dem System des Opfers erst ermöglicht. Waski kursiert vorrangig in englischsprachigen Ländern, wie den USA, Kanada, Vereinigtes Königreich, Australien, Neuseeland und Irland, ist aber auch in Deutschland und Italien aufgetaucht.

Der Schädling wurde Ende 2013 zum ersten Mal entdeckt und seitdem von ESET als Win32/TrojanDownloader.Waski erkannt. Seine Spezialität besteht darin, Trojaner wie Dyre (oder Win32/Battdil) auf einen Rechner herunterzuladen. Über Social Engineering und Phishing-Maschen versucht er, sich ins System einzuschleusen. Der Downloader tarnt sich unter anderem als PDF-Datei unter Verwendung des Adobe-Symbols. Die Endung entlarvt ihn allerdings als ausführbare exe-Datei.

Beim Öffnen bestätigt Waski die IP-Adresse des befallenen Rechners und erstellt anschließend eine einmalige ID-Nummer, die an den Command & Control (C&C) Server der Hintermänner gesendet wird. Die heruntergeladene Payload erscheint in Form einer anderen PDF-Datei, die zwar auch eine richtige Endung aufweist, aber den Banking-Trojaner enthält.

Einmal in Aktion ist Dyre in der Lage, Zugangsdaten von Online-Banking-Webseiten abzuzapfen, die über so weitverbreitete Browser wie Google Chrome, Mozilla Firefox und Internet Explorer aufgerufen werden.

Somit wird Waski so zu einem sehr nützlichen Hilfswerkzeug für jeden Angreifer, der auf leichte Beute aus ist.

Anpassungsfähige Webinjects täuschen Bankkunden

webinject_inyeccion_web

Webinjects und Banking-Trojaner haben eine lange Tradition. Mithilfe von Webinjects lassen sich Webseiten täuschend echt manipulieren. Ruft das Opfer eine bestimmte Bank-Seite auf, erkennt es in den wenigsten Fällen die Fälschung.

Der zugehörige Trojaner ist in der Lage, den Code, in der Regel JavaScript, in den Browser einzuschleusen, um auf den Webseiteninhalt zuzugreifen und verschiedene Aktionen auszuführen. Normalerwiese laden Banking-Trojaner irgendeine Form von Webinject-Konfigurationsdatei herunter, die sowohl das Ziel als auch den Inhalt enthält, der in die anvisierte Webseite eingebettet werden soll.

In den letzten Monaten gab es Anzeichen dafür, dass Webinjects zu Standardprodukten geworden sind, mit immer weiter fallenden Preisen. Dies führt dazu, dass anpassungsfähige Webinjects mit neuen Funktionen entwickelt werden.

ESET Malware-Experte Jean-Ian Boutin hat seine ausführlichen Untersuchungsergebnisse auf der 24. Virus Bulletin-Konferenz letztes Jahr in Seattle präsentiert. Seinen Analysen zufolge geht der Trend bei Webinjects hin zum Allerweltsprodukt oder zur Massenware und treibt Cybercrime-as-a-Service weiter voran.

„Ich beschäftige mich schon seit Jahren mit Banking-Trojanern und habe schon viele, viele Webinjects durchleuchtet“, schreibt er in einem Artikel vom Herbst letzten Jahres. „Nach und nach kristallisierte sich ein gemeinsames Muster bei verschiedenen Webinjects heraus, das bei den unterschiedlichsten Banking-Trojanern genutzt wird. Wir haben entdeckt, dass Code und Administrations-Konsolen wiederverwendet wurden und die Verkäufer in der Schwarzmarktszene sehr gefragt waren.“

CLP Malware überwacht Online-Banking-Transaktionen

Shutterstock

Brasilien ist nicht nur eines der bevölkerungsreichsten Länder der Welt, sondern gehört auch zu den wirtschaftlich am schnellsten wachsenden. Hinzu kommt, dass es dort die höchste Anzahl an Internetnutzern gibt, die Online-Banking betreiben. Keine Überraschung also, dass – traurigerweise – Brasilien immer mehr ins Visier von Cyberkriminellen und Banking-Trojanern rückt.

CPL Malware ist hier besonders weit verbreitet und wird dazu eingesetzt, Nutzern das Herunterladen und Installieren von Banking-Trojanern schmackhaft zu machen.

Laut der Analyse des ESET Malware-Spezialisten und Leiter des Forschungslabors in LATAM, Matias Porolli, handelt es sich bei der Malware um „etwas zwischen Banking-Trojaner und schädlicher E-Mail“. CPL Malware lässt sich in der Regel als Mischung aus Social Engineering und Phishing-E-Mails definieren.

Den Schädling findet man in versandten ZIP-Dateien. Im Glauben, eine bestimmte Datei herunterzuladen, infiziert sich der Anwender geradewegs mit CPL, das beim Klick auf den Download mit der Ausführung auf dem System startet. Von nun an sind die Cyberkriminellen in der Lage, Zugriffe auf Bank-Webseiten nachzuverfolgen, ihre Opfer auf schädliche Webseiten umzuleiten oder Bank-Transaktionen zu übernehmen. Die Kontodaten gelangen so ohne Umwege in die Hände der Betrüger.

Operation Buhtrap & NSIS Trojaner-Downloader

Shutterstock

Im April haben ESET-Experten eingehende Untersuchungen zur Operation Buhtrap veröffentlicht – ein großflächiger Angriff auf russische Unternehmen und Anwender. Die dabei eingesetzte Malware diente der Spionage und des Diebstahls von vertraulichen Informationen und Smartcard-Daten.

Die Hintermänner nutzten dabei eine Sicherheitslücke in Word und verschickten im Anhang gefälschte Rechnungen oder Verträge von MegaFon – einem großen russischen Mobilfunkbetreiber – und köderten damit ihre Opfer.

Die Cyberkriminellen machten sich eine Mischung aus kommerziellen Tools, einem NSIS-verpackten Trojaner-Downloader und einer maßgeschneiderten Spyware zu Nutze, die Yandex Punto Software missbraucht.

Die auf dem Rechner des Opfers installierten Tools ermöglichen dann den Angreifern, den Computer aus der Ferne zu kontrollieren und Aktionen des Users aufzuzeichnen. Darüber hinaus lässt sich auch eine Backdoor installieren, um an das Passwort vom Konto zu gelangen und einen neuen Account zu erstellen. Die Malware ist außerdem in der Lage, einen Keylogger, einen Clipboard-Stealer und ein Smartcard-Modul einzuschleusen sowie zusätzliche Schadprogramme herunterzuladen und auszuführen.

Banking-Trojaner: Zahlreich und gefährlich

Alle oben aufgeführten Beispiele veranschaulichen die Vielfalt von Online-Banking-Schadsoftware, mit der Cyberkriminelle unbefugte Zugriffe aufs System erlangen können. Gleichzeitig zeigen sie auch auf, wie ernst der Markt Cybercrime-as-a-Service geworden ist. Aus bekannten und unbekannten Banking-Trojanern werden neue Angriffs-Varianten entwickelt, um in die Bereiche zu kommen, wo richtig viel Geld und eine Menge profitabler Daten zu holen sind, wie beispielsweise im Finanzsektor. Das Katz-und-Mausspiel geht weiter.

Autor , ESET