Gozi mit Bootkit ausgestattet

Die auf Unternehmensschutz spezialisierte Firma Trusteer hat eine neue Modifikation des Banken-Trojaners Gozi entdeckt, die über Rootkit-Funktionalität verfügt.

Rootkits sind ein effektives Mittel zum Verbergen von Schadcode im System, allerdings werden sie selten von Schädlingen verwendet, die auf den Diebstahl von Finanzinformationen ausgerichtet sind. Ausnahmen bilden hier das berühmt-berüchtigte Schadprogramm Torpig/Sinowal sowie wahrscheinlich Carberp, dessen Bootkit-Komponente vor zwei Jahren von ESET entdeckt wurde und seither hin und wieder in Hackerforen auftaucht.

Nach Angaben von Trusteer infiziert die Rootkit-Variante von Gozi den MBR und wartet auf den Start des Internet Explorers, um seine Hauptfunktionalität ausführen zu können. Wie auch andere Banker fängt Gozi den Traffic ab und ist in der Lage, die Webseiten der Bank-Ressourcen on-the-fly auszutauschen. Die Experten weisen darauf hin, dass das Spionage-Programm selbst keinen Veränderungen unterworfen wurde. Möglicherweise ist auf dem Schwarzmarkt ein neues Rootkit aufgetaucht, das auch die Entwickler von Gozi einsetzen.

Der modulare Trojaner Gozi, alias Papras, bereitet den Bankkunden bereits seit dem Jahr 2006 Verdruss. Nach Einschätzungen der Spezialisten hat seine weltweite Population die Millionengrenze überschritten – mit 40.000 infizierten Computern in den USA sowie Infektionen in Deutschland, Polen, Großbritannien, Frankreich, Italien, Finnland und der Türkei. Die durch die Spionagetätigkeit von Gozi verursachten Verluste belaufen sich auf Dutzende Millionen Dollar.

Derzeit wird in den USA ein Gerichtsprozess gegen drei Ausländer angestrengt, die in dem Verdacht stehen, diesen Trojaner entwickelt und verbreitet zu haben. Laut Pressemitteilung handelt es sich bei dem Urheber von Gozi um den Russen Nikita Kuzmin, der seinerzeit die Funktionelle Spezifikation erstellte und dann einen erfahrenen Programmierer anheuerte, der den Quellcode schreiben geschrieben hat. Zunächst stellte Kuzmin Gozi auf seiner Website von „76 Service“ als SaaS zur Verfügung, später ging der Schädling in den Verkauf, wobei Kuzmin ihn von Zeit zu Zeit von einem Auftrags-Virenschreiber verbessern ließ. Kuzmin wurde Ende 2010 verhaftet und hat seine Schuld, sich illegal in die Funktion von Computersystemen eingemischt zu haben, bereits eingestanden.

Einer der angeheuerten Helfer von Kuzmin, die Gozi weiterentwickelt haben, ist vermutlich der Lette Denis Calovskis, ehemaliger Student der Rigaer Technischen Universität, und heute ein kleiner Geschäftsmann. Auf Anfrage der amerikanischen Behörden wurde er von der lettischen Polizei festgenommen und hat kürzlich Berufung gegen die Entscheidung der lokalen Behörden über seine Auslieferung eingelegt. Der mutmaßliche Hoster der C&C-Server von Gozi, Mihai Ionut Paunescu, wurde Ende 2012 in Rumänien festgenommen und wartet auf die Entscheidung über seine Auslieferung an die amerikanischen Behörden. Nach Angaben des FBI hat er nicht nur den Betreibern von Gozi Bulletproof-Hosting zur Verfügung gestellt, sondern auch den Botmastern von ZeuS, SpyEye und anderen bekannten Schädlingen.

Quelle:

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.