Bankraub-Trojaner werden intelligent

30. September 2009, 11:34
  • security
  • mcafee
image

"URLzone" unterlief Fraud-Detection-Systeme der Banken. Cyberkriminelle erbeuteten rund 300'000 Euro.

"URLzone" unterlief Fraud-Detection-Systeme der Banken. Cyberkriminelle erbeuteten rund 300'000 Euro.
Forscher der Security-Firma Finjan sind einem neuen "Supertrojaner" auf die Spur gekommen, der es auf die Bankdaten und das Geld seiner Opfer abgesehen hat. Diese Malware stiehlt nicht nur Login-Daten der User: Wenn ein User in seinem Online-Konto eingeloggt ist, kann sie auch im Hintergrund Geld abheben und auf Kontos der Angreifer schicken. Der User sieht diese Transaktionen nicht, und zusätzlich werden ihm falsche Kontostände angezeigt.
Gleichzeitig versucht der Trojaner auch, die automatischen "Fraud Detection"-Systeme der Banken, mit denen diese, verdächtige Transaktionen identifizieren, auszuhebeln. Diese Systeme reagieren auf ungewöhliche Transaktionen. "URLzone" errechnet nun aufgrund des Kontostandes, wie viel Geld er wahrscheinlich abheben und verschieben kann, ohne einen Alarm auszulösen.
"Es handelt sich um einen Bank-Trojaner der nächsten Generation. Das ist Teil des neuen Trends, immer fortschrittlichere Malware zu programmieren, die für das Austricksen von Sicherheitssystemen optimiert ist", sagt dazu Ben Itzhak von Finjan. Auch der Sicherheitsexperte Toralv Dirro von McAfee stimmt ihm zu. "Der Trend geht eindeutig hin zu aufwendigeren Trojanern. Kriminelle Gruppen entwickeln das ganz gezielt weiter, heute arbeitet eine ganze Reihe von Trojanern so wie der Beschriebene. Man kann das als eine Art Wettrüsten zwischen den Cyberkriminellen, Banken und der Sicherheitsindustrie interpretieren", sagt er im 'pressetext'-Gespräch.
Zielgruppe des Trojaners waren die Kunden einiger deutscher Banken, die man von seiten Finjans nicht nennen wollte. Insgesamt wurden mithilfe des Trojaners rund 300'000 Euro erbeutet. "Das halte ich noch für relativ wenig Beute, was wahrscheinlich an der relativ geringen Zahl der Infektionen lag. Normalerweise werden aber auch keine Informationen über die Höhe des finanziellen Schadens bekannt gegeben", so Dirro. Die Server, von der die Malware gesteuert wurde, konnten in der Ukraine lokalisiert werden. "Das läuft über sogenannte Bulletproof-Hoster. Die gibt es weltweit. Sie sind teurer als andere Hoster und lassen ihre Kunden dafür hosten, was sie wollen. Sie behaupten, der Inhalt der Server sei Sache der Kunden und gehe sie nichts an", sagt der Experte. Die deutschen Behörden sind informiert.
Die Finjan-Mitarbeiter schafften es, die Kommunikation des Trojaners auf einem infizierten System abzuhören und auf diese Art den Kommandoserver aufzuspüren. Diesen hatten die Cyberkriminellen unvorsichtigerweise nicht ausreichend gesichert, wodurch die Security-Experten allerlei Daten über den Trojaner beschaffen konnten, darunter auch Statistiken zu den Infektionen. Insgesamt sollen rund 90'000 Computer die Seiten, auf denen der Schädling gehostet war, besucht haben. Davon infizierten sich 6400 mit der Malware - eine Erfolgsquote von 7,5 Prozent. Von ein paar hundert der infizierten Computer wurde tatsächlich Geld gestohlen, insgesamt etwa 300'000 Euro. Nach 22 Tagen verschwand der Trojaner Ende August wieder - offenbar hatten die Cyberkriminellen bemerkt, dass man ihnen auf der Spur war.
Infiziert wurden die Computer mit zwei verschiedene Methoden. Zum einen erhielten Opfer E-Mails, in denen Links enthalten waren, die sie auf eine zur Verbreitung des Trojaners erstellte Website lotsten. Die zweite Möglichkeit, sich den Trojaner einzufangen, war der Besuch von durch die Malware unterwanderten Internetseiten. Für beide Infektionswege nutzte der Schädling eine bekannte Sicherheitslücke in gängigen Internetbrowsern aus. (hjm/pte)

Loading

Mehr zum Thema

image

Ransomware-Gruppen im Darknet

Die schrittweise Veröffentlichung von gestohlenen Datensätzen im Darknet gehört zum Standardrepertoire jeder grösseren Ransomware-Gruppe. Kommt das Opfer den Forderungen der Cyberkriminellen nicht fristgerecht nach, werden dessen Informationen dort zugänglich veröffentlicht.

image

Ransomware-Bande Conti gibts nicht mehr

Die Bande griff die Universität Neuenburg oder den Storenbauer Griesser an. Aber zu früh freuen sollte man sich über den "Rücktritt" nicht, die Kriminellen haben noch ein Ass im Ärmel.

publiziert am 20.5.2022
image

Online-Ads: Nutzer-Daten werden Milliarden Mal pro Tag verarbeitet

Eigentlich weiss man es: Beim Besuch einer Website werden eine Menge Informationen verfolgt und geteilt. Ein Bericht verdeutlicht nun, wie häufig dies geschieht und stellt die Frage: Ist das legal?

publiziert am 20.5.2022
image

Hacker nehmen VMware- und F5-Sicherheitslücken aufs Korn

Die US-Cyberbehörde CISA warnt, dass die kürzlich bekannt gewordenen Lücken aktiv angegriffen werden, vermutlich von staatlich unterstützten Gruppierungen.

publiziert am 19.5.2022