Multi-Plattform-Attacke auf Banken

Laut Expertenaussage ändert ein über lokalisiertes Spam verbreiteter neuer Trojaner die DNS-Einstellungen auf einem infizierten Computer und leitet sein Opfer auf eine gefälschte Banken-Seite um. Hier wird der Nutzer aufgefordert, einen als Generator von Einmal-Passwörtern getarnten Android-Schädling herunterzuladen, der die eingehenden SMS mit mTAN abfängt und sie den Initiatoren des Angriffs schickt.

Bemerkenswert ist, dass Retefe, wie die Fachleute aus dem Schweizer CERT den Windows-Trojaner getauft haben, nicht nur die DNS ändert, sondern außerdem auf dem Rechner des Opfers ein Root-SSL-Zertifikat installiert, um den ungehinderten Zugriff des Opfers auf Phishing-Websites zu gewährleisten, und sich daraufhin selbst vom Computer löscht. „An Eleganz ist diese Schadsoftware schwer zu übertreffen“, kommentiert Daniel Stirnimann vom Schweizer CERT. „Sie verzichtet auf die [geladenen] Softwarekomponenten und minimiert damit die Komplexität. Es scheint auch, dass es aus Betrügersicht heutzutage ökonomischer ist, schlicht und einfach neue Opfer-PCs mittels Spam-Kampagnen zu infizieren.“

Laut Angaben des Unternehmens Trend Micro, das diese Attacke als Operation Emmental identifiziert, imitieren die im Rahmen dieser Kampagne verbreiteten Spam-Mails in unterschiedlichen Sprachen Benachrichtigungen von populären lokalen Einzelhändlern und sind mit einem schädlichen Link oder einem Anhang ausgestattet, der angeblich eine Rechnung enthält. Lädt und startet der Nutzer die schädliche Datei und erteilt anschließend die Erlaubnis zur Installation eines „Windows-Updaters“, schließt er die Installation und damit die erste Etappe des Angriffs ab.

Aufgrund der Subdomains der DNS-Einstellungen landet das Infektions-Opfer jedes Mal auf einer gefälschten Seite, und nicht auf der echten Banken-Website. Alle dort eingegebenen Daten werden direkt an die Cyberkriminellen weitergeleitet. Da der Besucher dieser gefakten Seiten keine Einmal-Passwörter erhält, wird er obendrein aufgefordert, eine Android-Anwendung zu installieren – angeblich um solche Schutzcodes zu generieren. Die gefälschte Site nimmt dann wiederum selbstverständlich alle von diesem gefälschten Generator erzeugten „TAN“ anstandslos an. Währenddessen führen die Verbrecher mit Hilfe der gestohlenen Identifikationsdaten im Namen des Opfers betrügerische Transaktionen durch, indem sie die von der Bank versendeten Passwörter mit Hilfe des Android-Schädlings abfangen. Um die Anti-Fraud-Systeme der Banken zu umgehen, loggen sich die Räuber von gehackten Computern mit lokalen Meldedaten in die Online-Banking-Systeme ein.

Die Komponenten der „Operation Emmental“ sind also – so das Fazit von Trend Micro – lokalisierte Spam-Versendungen, schwer zu fassende Schädlinge (AV-Lösungen auf mobilen Geräten sind bisher eher die Ausnahme) und von Cyberkriminellen kontrollierte Webserver: DNS-Resolver, Hoster mit Phishing-Seiten, C&C. Zum gegenwärtigen Zeitpunkt wurden Angriffe auf die Kunden von Schweizer, österreichischen, schwedischen und japanischen Banken registriert.

Trend Micro hat außerdem einige Vermutungen bezüglich der Autoren von „Emmental“. Verschiedene Hinweise führen zu der Annahme, dass es sich dabei um Personen russischer und/oder rumänischer Herkunft handeln könnte; die Betreiber der Schadprogramme konnten als FreeMan und Northwinds identifiziert werden. Diese Nicknames wurden nach Angaben von Trend Micro im Jahr 2011 von den Verbreitern von SpyEye und Hermes benutzt. Um ihr neues Werkzeug zu schützen, haben FreeMan und Northwinds – wenn sie es denn wirklich sind – die Dienste von mindestens zwei Kryptoservices in Anspruch genommen, von denen einer einen Mitarbeiter aus Usbekistan beschäftigt.

Quelle:      The Register

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.