News

Multi-Plattform-Attacke auf Banken

Laut Expertenaussage ändert ein über lokalisiertes Spam verbreiteter neuer Trojaner die DNS-Einstellungen auf einem infizierten Computer und leitet sein Opfer auf eine gefälschte Banken-Seite um. Hier wird der Nutzer aufgefordert, einen als Generator von Einmal-Passwörtern getarnten Android-Schädling herunterzuladen, der die eingehenden SMS mit mTAN abfängt und sie den Initiatoren des Angriffs schickt.

Bemerkenswert ist, dass Retefe, wie die Fachleute aus dem Schweizer CERT den Windows-Trojaner getauft haben, nicht nur die DNS ändert, sondern außerdem auf dem Rechner des Opfers ein Root-SSL-Zertifikat installiert, um den ungehinderten Zugriff des Opfers auf Phishing-Websites zu gewährleisten, und sich daraufhin selbst vom Computer löscht. „An Eleganz ist diese Schadsoftware schwer zu übertreffen“, kommentiert Daniel Stirnimann vom Schweizer CERT. „Sie verzichtet auf die [geladenen] Softwarekomponenten und minimiert damit die Komplexität. Es scheint auch, dass es aus Betrügersicht heutzutage ökonomischer ist, schlicht und einfach neue Opfer-PCs mittels Spam-Kampagnen zu infizieren.“

Laut Angaben des Unternehmens Trend Micro, das diese Attacke als Operation Emmental identifiziert, imitieren die im Rahmen dieser Kampagne verbreiteten Spam-Mails in unterschiedlichen Sprachen Benachrichtigungen von populären lokalen Einzelhändlern und sind mit einem schädlichen Link oder einem Anhang ausgestattet, der angeblich eine Rechnung enthält. Lädt und startet der Nutzer die schädliche Datei und erteilt anschließend die Erlaubnis zur Installation eines „Windows-Updaters“, schließt er die Installation und damit die erste Etappe des Angriffs ab.

Aufgrund der Subdomains der DNS-Einstellungen landet das Infektions-Opfer jedes Mal auf einer gefälschten Seite, und nicht auf der echten Banken-Website. Alle dort eingegebenen Daten werden direkt an die Cyberkriminellen weitergeleitet. Da der Besucher dieser gefakten Seiten keine Einmal-Passwörter erhält, wird er obendrein aufgefordert, eine Android-Anwendung zu installieren – angeblich um solche Schutzcodes zu generieren. Die gefälschte Site nimmt dann wiederum selbstverständlich alle von diesem gefälschten Generator erzeugten „TAN“ anstandslos an. Währenddessen führen die Verbrecher mit Hilfe der gestohlenen Identifikationsdaten im Namen des Opfers betrügerische Transaktionen durch, indem sie die von der Bank versendeten Passwörter mit Hilfe des Android-Schädlings abfangen. Um die Anti-Fraud-Systeme der Banken zu umgehen, loggen sich die Räuber von gehackten Computern mit lokalen Meldedaten in die Online-Banking-Systeme ein.

Die Komponenten der „Operation Emmental“ sind also – so das Fazit von Trend Micro – lokalisierte Spam-Versendungen, schwer zu fassende Schädlinge (AV-Lösungen auf mobilen Geräten sind bisher eher die Ausnahme) und von Cyberkriminellen kontrollierte Webserver: DNS-Resolver, Hoster mit Phishing-Seiten, C&C. Zum gegenwärtigen Zeitpunkt wurden Angriffe auf die Kunden von Schweizer, österreichischen, schwedischen und japanischen Banken registriert.

Trend Micro hat außerdem einige Vermutungen bezüglich der Autoren von „Emmental“. Verschiedene Hinweise führen zu der Annahme, dass es sich dabei um Personen russischer und/oder rumänischer Herkunft handeln könnte; die Betreiber der Schadprogramme konnten als FreeMan und Northwinds identifiziert werden. Diese Nicknames wurden nach Angaben von Trend Micro im Jahr 2011 von den Verbreitern von SpyEye und Hermes benutzt. Um ihr neues Werkzeug zu schützen, haben FreeMan und Northwinds – wenn sie es denn wirklich sind – die Dienste von mindestens zwei Kryptoservices in Anspruch genommen, von denen einer einen Mitarbeiter aus Usbekistan beschäftigt.

Quelle:      The Register

Multi-Plattform-Attacke auf Banken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach