Die Rückkehr von Shylock: zwei Dutzend Banken im Visier

Der Finanzschädling Shylock, alias Caphaw, ist seit 2011 bekannt, doch in letzter Zeit registrieren die Experten eine deutliche Zunahme der Infektionen unter seiner Beteiligung. Besonders häufig anzutreffen ist er in Großbritannien, Italien, Dänemark und der Türkei. Laut Angaben von Zscaler interessiert sich Shylock zum gegenwärtigen Zeitpunkt für die Kundenkonten von 24 amerikanischen und europäischen Banken.

Sein umfangreiches Funktionsarsenal ermöglicht es Shylock, seine Spuren effektiv zu verwischen. Um den tatsächlichen Standort des C&C zu verbergen, aktiviert der Schädling einen integrierten Domain-Generierungsalgorithmus (DGA). Jegliche Kommunikation mit den Komponenten der Kommando-Infrastruktur wird unter Verwendung selbstsignierter SSL-Zertifikate geführt. „Eine große Anzahl potentieller Rendezvous-Punkte mit willkürlichen Namen erschwert AV-Ermittlern und Strafverfolgungsbehörden die Arbeit, die versuchen, die C&C-Infrastruktur zu identifizieren und zu zerschlagen.“, kommentiert Zscaler. „Hinzu kommt der Einsatz von Verschlüsselung, der die Identifizierung und Blockierung der im C&C interagierenden Ressourcen ebenfalls behindert.“

Ein kleiner Exkurs zu den Domain-Generierungsalgorithmen: Sie haben schon früher Schädlingen geholfen, ihre C&C zu tarnen, und werden von so bekannten Schadprogramm-Familien wie Pushdo, Zeus und TDL/TDSS verwendet. Ein DG-Algorithmus erzeugt in einem voreingestellten Intervall neue Domainnamen und überprüft deren Funktionsfähigkeit. Der Einsatz von DGA ermöglicht es einem Schädling, statische Reputationsfilter, die auf Schwarzen Listen basieren, effektiv auszutricksen. Zudem ist es Botmastern durch die Existenz von DGA möglich, die Zahl der C&C-Server deutlich zu reduzieren, die von jetzt auf gleich gesperrt werden könnten.

Zurück zu Shylock: Wir weisen darauf hin, dass seine Autoren ihr Machwerk fortwährend perfektionieren, indem sie Funktionen hinzufügen, die ihm helfen, Schutzprogramme und –Services zu umgehen und eine Analyse des Codes zu behindern. Dieser Schädling kann den Start auf einer virtuellen Maschine verfolgen und feststellen, ob eine Verbindung zum Internet besteht, er setzt die Standardfunktion Autostart unter Windows ein und kontrolliert die Systemprozesse, um sich nachhaltig auf dem infizierten Rechner einzunisten. Shylock verfügt über ein Plug-In zur Selbstverbreitung via Skype und nutzt Web-Einschleusungen, die einen Austausch der Seite einer konkreten Bank on-the-Fly ermöglichen. Die jüngsten Modifikationen des Schädlings kommunizieren mit Javascript des legalen Dienstes MaxMind GeoIP, um den geografischen Standort des Opfers zu bestimmen. „Systemadministratoren sollten solche Transaktionen als Ausgangspunkt für die Untersuchungen bei beliebiger verdächtiger Aktivität nutzen.“, empfehlen die Experten. „Der Dienst selbst ist nicht gefährlich, doch eine derartige Art der Verwendung zeigt ganz klar, dass Virenautoren selbst legale Services zu ihren Zwecken ausnutzen können.“

Im Zuge der Analyse konnte Zscaler den ursprünglichen Infektionsweg des neuen Shylock nicht identifizieren. Die Experten nahmen an, dass für seine Verbreitung Exploits verwendet werden, die Sicherheitslücken in Java angreifen. Im Erfolgsfall wird dann eine ausführbare Datei auf den Rechner des Opfers geladen, deren Äußeres sich mit jedem Infektionszyklus ändern kann. Diese Mutmaßung wurde bald von den Ermittlern bei Damballa bestätigt: In den meisten von ihnen registrierten Fällen wurde Shylock über Drive-by-Downloads unter Verwendung eines Exploit-Packs transportiert. Damballa gelang es zudem, den Erfolgskoeffizient dieser Attacken zu ermitteln – er liegt bei unter 20%.

Zum gegenwärtigen Zeitpunkt unterscheidet Zscaler 64 neue Shylock-Varianten und 469 IP-Adressen, die via DGA erzeugte Domains anfragen. Aufgrund der Analyseergebnisse wurde eine Liste der Ziele dieses Schadprogramms erstellt:

  • Bank of Scotland
  • Barclays Bank
  • First Direct
  • Santander Direkt Bank AG
  • First Citizens Bank
  • Bank of America
  • Bank of the West
  • Sovereign Bank
  • Co-operative Bank
  • Capital One Financial Corporation
  • Chase Manhattan Corporation
  • Citi Private Bank
  • Comerica Bank
  • E*Trade Financial
  • Harris Bank
  • Intesa Sanpaolo
  • Regions Bank
  • SunTrust
  • Bank of Ireland Group Treasury
  • U.S. Bancorp
  • Banco Mercantil, S.A.
  • Varazdinska Banka
  • Wintrust Financial Corporation
  • Wells Fargo Bank

Quelle: Softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.