Neuer Citadel: lokalisierter Content, Angriffe auf Amazon

Linker von Citadel (SaaS-Version von ZeuS) werden frei in vielen Untergrund-Online-Foren verkauft, daher war das Auftauchen einer neuen Variante dieses Trojaners nach schlagkräftigen Versuchen, mehr als 1.400 auf ihm basierende Botnetze zu zerstören, für Trusteer keine große Überraschung.

Der im vergangenen Monat entdeckte Schädling attackiert nicht nur Banken und Finanzorganisationen, sondern auch soziale Netzwerke und Online-Handelshäuser, wie z.B. Amazon. Der neue Citadel wird auf einem infizierten Rechner aktiviert, wenn das Opfer die Ziel-Website besuchen will, und führt sodann eine html-Einschleusung durch. Ruft der Anwender beispielsweise Amazon.com auf, so informiert ihn eine gefälschte Seite darüber, dass auf seinem Account angeblich verdächtige Aktivität entdeckt wurde und der Account daher gesperrt werden musste. Insgesamt kopiert die im Browser dargestellte Fälschung die legale Registrierungsseite und enthält lokalisierten Content.

Aufgrund neuer Funktionen ist Citadel in der Lage, den Inhalt der gefälschten Seite in Abhängigkeit von der angegriffenen Marke und der geografischen Lage des infizierten Computers zu modifizieren. Nach Angaben von Trusteer richten sich die Web-Einschleusungen des aktualisierten Trojaners gegen Anwender in Italien, Spanien, Frankreich, Deutschland, Großbritannien, den USA und Australien. Alle diese Einschleusungstricks verfolgen nur ein einziges Ziel – die in das Webformular eingegebenen Login- und Kontodaten zu stehlen.

Die kriminelle Gruppierung, die den neuen Citadel herausgebracht hat, ist bemüht, kein Aufsehen zu erregen, die Ausbreitung des Schädlings zu beschränken und möglicherweise die „Früchte ihrer Arbeit“ zu verkaufen. Auf dem Schwarzmarkt erfreuen sich lokalisierte Authentifizierungsdaten einer größeren Nachfrage als ungeordnete Listen mit Anwender-Logins.

Nach Meinung von Etay Maor, Entwicklungsleiter im Bereich Betrugsprophylaxe bei Trusteer, ermöglicht die Aufnahme von Online-Handelshäusern in die Liste der potentiellen Ziele dem Trojaner die Erschließung neuer Märke und neuer Regionen. „Die Web-Injektionen tragen die Handschrift eines Meisters. Die Texte enthalten keine Grammatikfehler, alle Logos sehen vollkommen echt aus.“, kommentiert der Experte und ergänzt, dass die Infektionen mit Citadel höchstwahrscheinlich über Drive-by-Downloads realisiert werden. „Nichts desto weniger – wenn Sie sich bei Amazon registrieren und auf dem Bildschirm eine unbekannte Abbildung erscheint, sollten sie unbedingt Skepsis walten lassen – selbst wenn ihnen dabei die Sperrung des Accounts droht.“

Der neue Fund zeigt eindrucksvoll, dass alle Versuche, Botnetze auszulöschen – wie durchschlagend auch immer sie sein mögen – nicht in der Lage sind, die Evolution von Citadel und anderen Schädlingen aufzuhalten. „Es wurden insgesamt mehr als 1.000 Botnetze auf der Grundlage von Citadel außer Gefecht gesetzt, doch man sollte sich immer darüber im Klaren sein, dass solche Aktionen das Problem nicht lösen, auch wenn ihre Bedeutung nicht zu unterschätzen ist.“, ist Maor überzeugt. „Die Botnetze, die die Cyberkriminellen entwickelt und aktiv ausgenutzt haben, haben ihre Arbeit eingestellt. Allerdings kann jeder, der einen Linker von Citadel hat, eine neue Variante des Schädlings zusammenzustellen und in Umlauf bringen. Citadel wurde also nicht zerstört. Das Untergrund-Business hat einen Verlust erlitten, aber der lässt sich ersetzen.

Quelle: Trusteer

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.