Neue Zeus-Spielart mit breitem Zielspektrum

Nach Einschätzungen von Kaspersky Lab handelt es sich bei dem im Herbst entdeckten modularen Banker um eine Weiterentwicklung des Zweiges von ZeusVM, obwohl einige Neuheiten auch anderen ZeuS-Modifikationen entlehnt wurden. Wie eine Analyse zeigte, ist der jüngste Spross des mächtigen „Zeus“ in der Lage, mehr als 170 Online-Banking-Systeme in verschiedenen Ländern anzugreifen. Die Schutzlösungen von Kaspersky Lab detektieren ihn als Trojan-Banker.Win32.Chthonic.

„Der neue Trojaner Chthonic verkörpert den jüngsten Entwicklungsschritt von ZeuS: Er verwendet die Zeus-Chiffrierung AES, eine virtuelle Maschine, die der in ZeusVM und KINS ähnelt, und den Loader Andromeda“, fassen die Experten ihre Erkenntnisse zusammen.

Der neue Schädling verbreitet sich mittels Spam-Versendungen unter Verwendung eines Exploits oder via Download mit Hilfe des Bots Andromeda (Backdoor.Win32.Androm). Gefunden wurden unter anderem auch Spam-Mails in russischer Sprache mit Angeboten über Dienstleistungen zur schnellen Kredittilgung, an die ein speziell erstelltes RTF-Dokument angehängt war, das zur Ausnutzung der Sicherheitslücke CVE-2014-1761 bestimmt ist. Die schädliche Datei trug die gänzlich harmlose Erweiterung .doc.

Besonders interessierte die Spezialisten die neue, abgestufte Art des Moduldownloads. Nach der Verarbeitung des Exploits oder dem Start der entsprechenden Funktion von Andromeda wird zunächst ein Downloader geladen, dessen Code nach Aussage der Kaspersky-„Laboranten“ dem Quellcode von Andromeda ähnelt. Dieses Ladeprogramm enthält die Konfigurationsdatei, die mit Hilfe einer virtuellen Maschine verschlüsselt wurde, was schon früher bei ZeusVM und KINS beobachtet wurde. Nachdem er die Daten über das infizierte System an den C&C-Server geschickt hat, erhält der Bot als Antwort einen erweiterten Downloader, der das Hauptmodul lädt, welches wiederum seinerseits alle anderen Module herunterlädt.

Der Liste von Modulen nach zu urteilen, die die Experten gefunden haben, kann der neue Schädling auf die unterschiedlichsten Arten Daten stehlen und ist mit einer Reihe zusätzlicher Funktionen ausgestattet. Neben Web-Einschleusungen – dem wichtigsten Werkzeug eines jeden zeitgemäßen Bank-Trojaners – verfügt Chthonic über ein Modul zum Abgreifen von Daten aus Webformularen (Formgrabber), ein Modul zum Diebstahl gespeicherter Passwörter, über einen Keylogger sowie über ein Modul zum Aufzeichnen von Videos mit der Webcam. Der Schädling macht es möglich, einen infizierten Rechner als SOCKS-Proxy zu verwenden und stellt den Betreibern eine VNC-Verbindung zur Durchführung von betrügerischen Transaktionen bereit. Nahezu alle aufgezählten Module können auf 64-Bit-Versionen geladen werden.

Die Web-Einschleusungen ermöglichen Chthonic nicht nur die Installation zusätzlicher Felder und Bilder auf den Seiten der angegriffenen Banken, sondern auch die Darstellung gefälschter Fenster und sogar den kompletten Austausch der Inhalte von Webseiten. In dem Bericht von Kaspersky Lab wird zum Beispiel beschrieben, dass der Schädling für eine bestimmte japanische Bank die legitimen Warnhinweise verbirgt und ein Skript einschleust, das es den Cyberkriminellen ermöglicht, den Account des Opfers zu manipulieren. Bei einem Angriff auf eine russische Bank legte der Trojaner ein anderes Verhalten an den Tag: Er erstellte einen iframe mit einer Phishing-Kopie der Seite auf dem gesamten Fenster.

Die Experten von Kaspersky Lab identifizierten mehrere Botnetze auf der Basis von Chthonic, und insgesamt zählten sie mehr als 150 Banken und 20 Bezahlsysteme in 15 Ländern, die zu den Opfern des Schädlings gehören. Dabei zeigen die Online-Verbrecher das stärkste Interesse an Banken in Großbritannien (43 Objekte), Spanien (36), den USA (35), Russland (22), Japan und Italien (18 und 13 respektive). Die Experten wiesen darauf hin, dass viele Web-Einschleusungen von Chthonic aufgrund von Veränderungen, die die Banken in der Struktur ihrer Seiten vorgenommen haben, oder wegen des Austauschs der Zieldomain bereits nicht mehr funktionieren.

„Wir sehen, dass der Trojaner ZeuS in seiner aktiven Entwicklung nicht Halt macht, und in seinen jüngsten Umsetzungen kommen die fortschrittlichsten Errungenschaften der Malwareautoren zum Einsatz“, schließen die Experten. „In vielerlei Hinsicht wird das auch durch das Durchsickern des Quellcodes von ZeuS gefördert. Auf diese Weise ist er in der Welt der Malware-Entwickler zu einer Art Framework geworden, das für alle Interessierten frei zugänglich ist und problemlos an die neuen Bedürfnisse der Cyberkriminellen angepasst werden kann. All das zeugt davon, dass wir gewiss neue ZeuS-Varianten zu sehen bekommen werden.“

Wie zur Bestätigung dieser Vorhersage erschien am Tag der Veröffentlichung des Berichts von Kaspersky Lab im Blog von PhishLabs ein Eintrag über einen neuen Social Engineering-Ansatz, den sich die Verbreiter von ZeuS angeeignet haben. Dem potentiellen Opfer wird im Browser eine gefälschte Mitteilung über die Sperrung eines „laufenden Readers zum Lesen von Dokumenten online angezeigt“, angeblich im Zusammenhang mit verdächtigen Veränderungen in den Sicherheitseinstellungen. Zur „Wiederherstellung der Einstellungen und der Möglichkeit des Betrachtens von Dokumenten online“ wird der Anwender aufgefordert, auf den in der Mitteilung eingefügten Button ‚Download and Install‘ (‚Laden und installieren‘) zu klicken. Nach Aussagen der Experten erfolgt bei der Aktivierung des Links eine Umleitung auf eine Site, die ZeuS lädt. Die Quelle dieser Browsermitteilungen konnte bisher noch nicht identifiziert werden, der Schädling konnte bis ins Steuerungspaneel zurückverfolgt werden.

Quelle:        Securelist

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.