Neue Web-Einschleusungen erweitern ZeuS‘ Horizont

Der Banken-Trojaner ZeuS ist schon lange nicht mehr jung, aber seinen jugendlichen Eifer hat er noch nicht verloren. Nach Angaben des dänischen Unternehmens CSIS Security war seine p2p-Version, auch bekannt als Gameover, im ersten Quartal besonders aktiv. Dabei wurden Infektionen mit diesem Schädling in 10 Ländern registriert, die von ihm früher eher vernachlässigt worden waren.

Wie die Experten jetzt herausgefunden haben, hat Gameover zusätzliche Web-Einschleusungen hinzubekommen, durch die die Liste der angegriffenen Marken innerhalb von drei Monaten auf 1.515 angestiegen ist, während sie zu Beginn des Jahres noch weniger als 1.000 zählte. Laut Aussage von Peter Kruse, Leiter der Unterabteilung bei CSIS, die für die Ermittlung von Hightech-Verbrechen zuständig ist, sind die meisten Ziele von Gameover Banken und andere Finanzinstitute in Afrika, dem Nahen Osten, Asien, Australien und Europa.

Kruse wies zudem darauf hin, dass die Verkäufer von ZeuS die bestehenden Web-Injects dahingehend weiterentwickeln, dass es künftig möglich ist, infizierte Computer on-the-fly zu aktualisieren. Unter Verwendung dieser zusätzlichen Module, die auf konkrete Ziele ausgerichtet sind, stiehlt der Banker die Daten der Anwender, indem er die Zielseite im Browser austauscht (eine Einschleusung – Inject – vornimmt). Dieser Schädling wird normalerweise mit Hilfe von Spam oder Drive-by-Attacken verbreitet. „Die meisten neueren Spam-Kampagnen nutzen illegaler Weise legitime Marken aus, die weithin bekannt sind und in vielen Ländern als vertrauenswürdig gelten“, meint der Experte. „Daher klicken die Nutzer gutgläubig auf den entsprechenden Link und aktivieren damit den schädlichen Code.“

Wenn ZeuS via Spam verbreitet wird, verwenden die Cyberkriminellen meist den Downloader Upatre, dessen Aktivität laut Microsoft im vergangenen November deutlich zugenommen hat. Im laufenden Jahr hat Upatre die Fähigkeit erworben, ZeuS in Form harmloser enc-Dateien zu verbreiten, um die schädliche Fracht so vor dem Blockieren zu schützen. Vor einem Monat entdeckten die Spezialisten bei Comodo eine neue ZeuS-Variante, die mit einem gültigen Zertifikat des Schweizer Softwareunternehmens Isonet AG signiert war. Diese Variante tarnt sich als Internet Explorer-Dokument und versucht bei Aktivierung Rootkit-Komponenten zu laden.

Quellen: Threatpost
CSIS

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.