Gameover klopft bei italienischen Banken an

Die Analyse einer neuen Konfigurationsdatei von Gameover, die die Kollegen von F-Secure untersuchten, hat gezeigt, dass die Betreiber dieses Trojaners die Jagdsaison auf italienische Online-Banking-Systeme eröffnet haben. In die aktualisierte Datei sind etwa ein Dutzend solcher Systeme (inklusive der lokalen Services der Deutsche Bank) geschrieben, wobei der Schädling für die Verbindung zu den Systemen sorgen soll. Unter den Zielen befinden sich auch arabische Banken.

Die Experten begannen im vergangenen Mai mit der automatisierten Aufzeichnung der zur p2p-Modifikation von ZeuS – bekannt als Gameover – gehörenden IP-Adressen. Das Ausbreitungsgebiet von Gameover umfasst Nord- und Südamerika, Westeuropa, GUS-Staaten, Afrika, den Nahen Osten sowie die asiatisch-ozeanische Region. Zur Überraschung der Ermittler entfielen etwa 10% der Infektionen auf den Anteil eines Landes – Italien.

Die Daten von F-Secure bestätigen die Statistik von SecureWorks (jetzt Teil von Dell), die in einer hervorragenden Untersuchung zu Gameover aufgeführt ist, und die im Juli dieses Jahres veröffentlicht wurde. Nach Einschätzung von SecureWorks entfallen auf den Anteil Italiens 9,2% der IP-Adressen, die mit diesem Trojaner in Verbindung stehen, und 5,1% der verschiedenen Bots (die Nicht-Übereinstimmung der Werte hängt damit zusammen, dass die Experten dynamische IP fixierten). Italien belegt den dritten Platz in den ТOP 10 der Länder nach Zahl der Gameover-Infektionen ― hinter den USA (22,1% der Bots, 29,2% der IP-Adressen) und Deutschland (7,2% und 4,7% respektive).

Gameover wurde im Herbst vergangenen Jahres als p2p-Modifikation von Zeus identizifiert, obgleich das Botnetz, das auf diesem Schädling basiert, bereits ein Jahr zuvor von RSA entdeckt wurde. Laut SecureWorks sind zum gegenwärtigen Zeitpunkt um die 680 000 infizierte Rechner in 226 Ländern an dieses Zombie-Netzwerk angeschlossen. Gameover wird über Spam-Versendungen vom Botnetz Cutwail aus verbreitet. URL, die in den Spam-Mails verschickt werden, gehören zu gehackten Websites, die den Anwender auf Blackhole-Exploit-Plattformen umleiten. Das Exploit lädt dann den Downloader „Pony“ auf den Computer des Opfers, der wiederum von einer Drittressource die spezielle Binärdatei lädt.

Gemäß der Statistik von SecureWorks attackierte Gameover von März bis Juli mehr als 40 meist kleinere Finanzinstitute. Besonders die Amerikaner wurden von diesem Schädling belästigt, und das FBI veröffentlichte mehrfach Warnungen vor Spam-Versendungen, die die Einnistung dieses Schadprogramms zum Ziel hatten. Zudem wurde vor einem besonderen Trick gewarnt, den die Cyberkriminellen in diesem Zusammenhang einsetzen: Um eine Reaktion auf die betrügerische Transaktion zu verhindern, führen sie parallel DDoS-Attacken auf die Banking-Website durch.

Quellen:

F-Secure

SecureWorks

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.