News

Die Rückkehr von Shylock: zwei Dutzend Banken im Visier

Der Finanzschädling Shylock, alias Caphaw, ist seit 2011 bekannt, doch in letzter Zeit registrieren die Experten eine deutliche Zunahme der Infektionen unter seiner Beteiligung. Besonders häufig anzutreffen ist er in Großbritannien, Italien, Dänemark und der Türkei. Laut Angaben von Zscaler interessiert sich Shylock zum gegenwärtigen Zeitpunkt für die Kundenkonten von 24 amerikanischen und europäischen Banken.

Sein umfangreiches Funktionsarsenal ermöglicht es Shylock, seine Spuren effektiv zu verwischen. Um den tatsächlichen Standort des C&C zu verbergen, aktiviert der Schädling einen integrierten Domain-Generierungsalgorithmus (DGA). Jegliche Kommunikation mit den Komponenten der Kommando-Infrastruktur wird unter Verwendung selbstsignierter SSL-Zertifikate geführt. „Eine große Anzahl potentieller Rendezvous-Punkte mit willkürlichen Namen erschwert AV-Ermittlern und Strafverfolgungsbehörden die Arbeit, die versuchen, die C&C-Infrastruktur zu identifizieren und zu zerschlagen.“, kommentiert Zscaler. „Hinzu kommt der Einsatz von Verschlüsselung, der die Identifizierung und Blockierung der im C&C interagierenden Ressourcen ebenfalls behindert.“

Ein kleiner Exkurs zu den Domain-Generierungsalgorithmen: Sie haben schon früher Schädlingen geholfen, ihre C&C zu tarnen, und werden von so bekannten Schadprogramm-Familien wie Pushdo, Zeus und TDL/TDSS verwendet. Ein DG-Algorithmus erzeugt in einem voreingestellten Intervall neue Domainnamen und überprüft deren Funktionsfähigkeit. Der Einsatz von DGA ermöglicht es einem Schädling, statische Reputationsfilter, die auf Schwarzen Listen basieren, effektiv auszutricksen. Zudem ist es Botmastern durch die Existenz von DGA möglich, die Zahl der C&C-Server deutlich zu reduzieren, die von jetzt auf gleich gesperrt werden könnten.

Zurück zu Shylock: Wir weisen darauf hin, dass seine Autoren ihr Machwerk fortwährend perfektionieren, indem sie Funktionen hinzufügen, die ihm helfen, Schutzprogramme und –Services zu umgehen und eine Analyse des Codes zu behindern. Dieser Schädling kann den Start auf einer virtuellen Maschine verfolgen und feststellen, ob eine Verbindung zum Internet besteht, er setzt die Standardfunktion Autostart unter Windows ein und kontrolliert die Systemprozesse, um sich nachhaltig auf dem infizierten Rechner einzunisten. Shylock verfügt über ein Plug-In zur Selbstverbreitung via Skype und nutzt Web-Einschleusungen, die einen Austausch der Seite einer konkreten Bank on-the-Fly ermöglichen. Die jüngsten Modifikationen des Schädlings kommunizieren mit Javascript des legalen Dienstes MaxMind GeoIP, um den geografischen Standort des Opfers zu bestimmen. „Systemadministratoren sollten solche Transaktionen als Ausgangspunkt für die Untersuchungen bei beliebiger verdächtiger Aktivität nutzen.“, empfehlen die Experten. „Der Dienst selbst ist nicht gefährlich, doch eine derartige Art der Verwendung zeigt ganz klar, dass Virenautoren selbst legale Services zu ihren Zwecken ausnutzen können.“

Im Zuge der Analyse konnte Zscaler den ursprünglichen Infektionsweg des neuen Shylock nicht identifizieren. Die Experten nahmen an, dass für seine Verbreitung Exploits verwendet werden, die Sicherheitslücken in Java angreifen. Im Erfolgsfall wird dann eine ausführbare Datei auf den Rechner des Opfers geladen, deren Äußeres sich mit jedem Infektionszyklus ändern kann. Diese Mutmaßung wurde bald von den Ermittlern bei Damballa bestätigt: In den meisten von ihnen registrierten Fällen wurde Shylock über Drive-by-Downloads unter Verwendung eines Exploit-Packs transportiert. Damballa gelang es zudem, den Erfolgskoeffizient dieser Attacken zu ermitteln – er liegt bei unter 20%.

Zum gegenwärtigen Zeitpunkt unterscheidet Zscaler 64 neue Shylock-Varianten und 469 IP-Adressen, die via DGA erzeugte Domains anfragen. Aufgrund der Analyseergebnisse wurde eine Liste der Ziele dieses Schadprogramms erstellt:

  • Bank of Scotland
  • Barclays Bank
  • First Direct
  • Santander Direkt Bank AG
  • First Citizens Bank
  • Bank of America
  • Bank of the West
  • Sovereign Bank
  • Co-operative Bank
  • Capital One Financial Corporation
  • Chase Manhattan Corporation
  • Citi Private Bank
  • Comerica Bank
  • E*Trade Financial
  • Harris Bank
  • Intesa Sanpaolo
  • Regions Bank
  • SunTrust
  • Bank of Ireland Group Treasury
  • U.S. Bancorp
  • Banco Mercantil, S.A.
  • Varazdinska Banka
  • Wintrust Financial Corporation
  • Wells Fargo Bank

Quelle: Softpedia

Die Rückkehr von Shylock: zwei Dutzend Banken im Visier

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach