News

Dridex übernimmt Tricks von Dyre und greift Briten an

Forscher haben herausgefunden, dass die Betreiber von Dridex ihr Interessenspektrum verengt haben und sich nun auf britische Banken konzentrieren, deren Kunden juristische Personen sind. Vor zwei Wochen erschien eine neue Version dieses Trojaners, und bald darauf folgte eine Serie von Schadversendungen, die sich gegen britische Anwender richtet.

Laut Angaben von Limor Kessem, einem der führenden Experten von IBM X-Force, wird die neuste Dridex-Version über das Botnetz Andromeda in Umlauf gebracht. Zunächst war die Liste der Ziele des aktualisierten Trojaners auf zwei Banken beschränkt, doch nach ein paar Tagen wurde sie um 13 Positionen erweitert.

Die Dridex-Angriffe auf britische Banken dürften kaum jemanden überraschen: Dieser Schädling hatte schon immer ein ausgeprägtes Interesse an Geld. IBM nimmt an, dass die Autoren des Trojaners beschlossen haben, sich auf offenkundig lukrative Ziele zu konzentrieren, und zwar Banken mit Subdomains für den Zugriff auf Unternehmens- und Geschäftskonten.

Die Verbreitung des neuen Dridex funktioniert wie gehabt, und zwar über Microsoft Office-Dateien mit schädlichen Makros, die als Rechnungen getarnt und an ein gefälschtes elektronisches Anschreiben angehängt sind. Will das Opfer die Website seiner Bank aufrufen, so wird die Anfrage unbemerkt auf eine andere Ressource weitergeleitet, um dem Online-Banking-Kunden dort die Nutzer-ID und das Passwort zu entlocken.

Der Trick, Daten mittels Redirect zu stehlen, ist nicht neu, er wird auch von einem anderen Bank-Trojaner eingesetzt – Dyre. Allerdings verwendet dieser zu diesem Zweck einen lokalen Proxy-Server, und der aktualisierte Trojaner Dridex hingegen tauscht die Einträge im lokalen DNS-Cache aus.

Der Einsatz einer solchen Technik macht laut Kessem umfassende Vorbereitungen erforderlich. „Um einen Angriff mit Redirect vorzubereiten, muss die Verbrecherbande viel in die Erstellung exakter Kopien der Websites der angegriffenen Banken investieren“, schreibt der Experte im X-Force-Blog. „Als Dyre begann, diese Methode einzusetzen, umfasste die Zielliste dieses Schädlings mehr als ein Dutzend Banken. Diese Operation machte den Einsatz umfangreicher Ressourcen erforderlich und die Betreiber von Dyre mussten letztlich wieder auf Web-Einschleusungen und den Austausch von Seiten zurückgreifen.“

Nichts desto weniger hat die neue Dridex-Kampagne sehr schnell Fahrt aufgenommen, und das ließ Kessem vermuten, dass beide Verbrechergruppen über ein und denselben Entwickler oder Betreiber miteinander verbunden sind. Möglicherweise haben die Dridex-Betreiber auch einfach einige Website-Kopien bei der Gruppe gekauft, die hinter Dyre steht.

Zuletzt wurde in den Medien Ende Oktober über Dridex berichtet. Zu dem Zeitpunkt war der Banken-Schädling aktiv und griff französische Bankkunden an, obgleich das FBI und die britische National Crime Agency kurz zuvor eine gemeinsame Operation zur Zerschlagung der Infrastruktur des Trojaners durchgeführt hatten. Da der Trojaner seinen Zug durch Europa fortsetzt, konnte diese Aktion seinen verheerenden Vormarsch offensichtlich nur kurzfristig stoppen.

Quelle: Threatpost

Dridex übernimmt Tricks von Dyre und greift Briten an

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach