CoreBot mutiert zu vollwertigem Banker

Die IT-Sicherheitsexperten von IBM X-Force stellen mit Bedauern fest: Ihre Erwartungen bezüglich CoreBot sind eingetroffen, und zwar äußerst schnell. Innerhalb weniger Tage erweiterte der neu erschienene Windows-Schädling seine Funktionalität und fügte eine Unmenge zusätzlicher Module hinzu, die darauf ausgerichtet sind, die Inhaber von Bankkonten effizient anzugreifen.

Ende vergangenen Monats veröffentlichte X-Force die Ergebnisse einer Analyse des Schädlings CoreBot. Zu dem Zeitpunkt verfügte dieser Trojaner der Untersuchung zufolge nur über die Basisfunktionen eines gewöhnlichen Informationsdiebs: Er war in der Lage, Passwörter zu stehlen, die in gängigen Webbrowsern, FTP- und E-Mail-Clients gespeichert sind, Anmeldedaten für Webmail und für Brieftaschen mit Kryptowährung sowie persönliche Zertifikate und private Angaben in verschiedenen Desktop-Apps aufzuspüren. CoreBot wurde mit Hilfe eines Droppers im System des Opfers installiert.

Doch trotz der offensichtlichen Banalität ihres Fundes versäumten es die Forscher nicht, ihre Befürchtungen zu teilen: Dieser Neuling verfügt über großes Potential. „Die interessanteste Besonderheit von CoreBot ist sein Plugin-System, das ihm eine modulare Struktur verleiht und ihm damit die Möglichkeit gibt, seine Funktionalität ohne viele Umstände zu erweitern“ bemerkte Limor Kessem in dem Blog von IBM X-Force. „Nachdem er sich im System festgesetzt hat, zieht der Schädling sofort Plugins vom C&C-Server. Daraufhin lädt er Plugins mit Hilfe der Funktion plugininit, die sich in der DLL-Bibliothek des Plugins befindet.“ Die Experten entdeckten zudem einen deaktivierten DGA-Algorithmus, der den Aufbau einer alternativen Verbindung zum C&C-Server ermöglicht, für den Fall, dass die Hauptdomains blockiert sein sollten.

Am vergangenen Donnerstag brachte das X-Force-Team erneut seine Sorge zum Ausdruck: Die Autoren von CoreBot brachten neue Module in Umlauf, nachdem sie die Funktionalität des Trojaners zu der eines vollwertigen Banken-Schädlings aufgestockt hatten. Von nun an ist der Trojaner in der Lage, dynamisch Daten aus dem IE, aus Firefox und Google Chrome ebenso wie aus Web-Formularen abzufangen; er kann seinen Betreibern VNC-Zugriff gewährleisten, verfolgen, wenn ein Opfer sich in das Online-Banking-System einloggt, Webseiten modifizieren und Daten im Laufe von Online-Banking-Sitzungen abfangen.

Den Ergebnissen einer neuen Analyse zufolge operiert CoreBot mit einer Liste von 55 URL, und greift die Kunden amerikanischer, kanadischer und britischer Banken an. Wenn sich ein Opfer bei einem Webservice autorisiert, der für den Trojaner von Interesse ist, informiert der Schädling den Angreifer und präsentiert dem Opfer einen Wartebildschirm, um dem Hacker Zeit zur Durchführung einer betrügerischen Transaktion zu verschaffen.

„In diesem Moment kann ein Cyberkrimineller die Session-Cookies benutzen, um sich in dieselbe Sitzung einzufädeln und eine Transaktion durchzuführen oder die Parameter einer bestehenden Überweisung zu ändern“, erklären die Experten. „Die Folge ist, dass das Geld auf einem Konto landet, das von den Betreibern des Trojaners kontrolliert wird.“

Nach Einschätzung der Forscher ist die Population von CoreBot bisher noch nicht besonders groß, allerdings seien eine Zunahme der Population sowie die weitere Evolution des Schädlings nur „eine Frage der Zeit“. Der Trojaner trat bisher noch nicht auf dem Schwarzmarkt in Erscheinung, doch das kann sich jederzeit ändern.

Quelle: ZDNet

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.