News

CoreBot mutiert zu vollwertigem Banker

Die IT-Sicherheitsexperten von IBM X-Force stellen mit Bedauern fest: Ihre Erwartungen bezüglich CoreBot sind eingetroffen, und zwar äußerst schnell. Innerhalb weniger Tage erweiterte der neu erschienene Windows-Schädling seine Funktionalität und fügte eine Unmenge zusätzlicher Module hinzu, die darauf ausgerichtet sind, die Inhaber von Bankkonten effizient anzugreifen.

Ende vergangenen Monats veröffentlichte X-Force die Ergebnisse einer Analyse des Schädlings CoreBot. Zu dem Zeitpunkt verfügte dieser Trojaner der Untersuchung zufolge nur über die Basisfunktionen eines gewöhnlichen Informationsdiebs: Er war in der Lage, Passwörter zu stehlen, die in gängigen Webbrowsern, FTP- und E-Mail-Clients gespeichert sind, Anmeldedaten für Webmail und für Brieftaschen mit Kryptowährung sowie persönliche Zertifikate und private Angaben in verschiedenen Desktop-Apps aufzuspüren. CoreBot wurde mit Hilfe eines Droppers im System des Opfers installiert.

Doch trotz der offensichtlichen Banalität ihres Fundes versäumten es die Forscher nicht, ihre Befürchtungen zu teilen: Dieser Neuling verfügt über großes Potential. „Die interessanteste Besonderheit von CoreBot ist sein Plugin-System, das ihm eine modulare Struktur verleiht und ihm damit die Möglichkeit gibt, seine Funktionalität ohne viele Umstände zu erweitern“ bemerkte Limor Kessem in dem Blog von IBM X-Force. „Nachdem er sich im System festgesetzt hat, zieht der Schädling sofort Plugins vom C&C-Server. Daraufhin lädt er Plugins mit Hilfe der Funktion plugininit, die sich in der DLL-Bibliothek des Plugins befindet.“ Die Experten entdeckten zudem einen deaktivierten DGA-Algorithmus, der den Aufbau einer alternativen Verbindung zum C&C-Server ermöglicht, für den Fall, dass die Hauptdomains blockiert sein sollten.

Am vergangenen Donnerstag brachte das X-Force-Team erneut seine Sorge zum Ausdruck: Die Autoren von CoreBot brachten neue Module in Umlauf, nachdem sie die Funktionalität des Trojaners zu der eines vollwertigen Banken-Schädlings aufgestockt hatten. Von nun an ist der Trojaner in der Lage, dynamisch Daten aus dem IE, aus Firefox und Google Chrome ebenso wie aus Web-Formularen abzufangen; er kann seinen Betreibern VNC-Zugriff gewährleisten, verfolgen, wenn ein Opfer sich in das Online-Banking-System einloggt, Webseiten modifizieren und Daten im Laufe von Online-Banking-Sitzungen abfangen.

Den Ergebnissen einer neuen Analyse zufolge operiert CoreBot mit einer Liste von 55 URL, und greift die Kunden amerikanischer, kanadischer und britischer Banken an. Wenn sich ein Opfer bei einem Webservice autorisiert, der für den Trojaner von Interesse ist, informiert der Schädling den Angreifer und präsentiert dem Opfer einen Wartebildschirm, um dem Hacker Zeit zur Durchführung einer betrügerischen Transaktion zu verschaffen.

„In diesem Moment kann ein Cyberkrimineller die Session-Cookies benutzen, um sich in dieselbe Sitzung einzufädeln und eine Transaktion durchzuführen oder die Parameter einer bestehenden Überweisung zu ändern“, erklären die Experten. „Die Folge ist, dass das Geld auf einem Konto landet, das von den Betreibern des Trojaners kontrolliert wird.“

Nach Einschätzung der Forscher ist die Population von CoreBot bisher noch nicht besonders groß, allerdings seien eine Zunahme der Population sowie die weitere Evolution des Schädlings nur „eine Frage der Zeit“. Der Trojaner trat bisher noch nicht auf dem Schwarzmarkt in Erscheinung, doch das kann sich jederzeit ändern.

Quelle: ZDNet

CoreBot mutiert zu vollwertigem Banker

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach