Neuer Trojaner greift Banken und e-Commerce-Dienste an

Der auf das Abfangen von Finanzinformationen spezialisierte Trojaner Beta Bot hat sein Angriffsspektrum in den letzten Monaten erweitert und wurde zudem mit einer großen Auswahl von Selbstschutzmechanismen ausgestattet.

Nach Angaben von RSA Security gab dieser Schädling im vergangenen Januar sein Debut als HTTP-Bot und hat seine Funktionalität eines Banken-Trojaners erst im Laufe der darauffolgenden Weiterentwicklung erhalten. Die neuste Spielart von Beta Bot funktioniert wie gehabt auf Befehl von einem entfernten Server und sendet seinem Herrn die in MySQL gespeicherten gestohlenen Daten. In der Zwischenzeit hat sich der Schädling nach Aussage der Ermittler allerdings zu einem Allesfresser entwickelt. Er stiehlt aus Webformularen die Zugangsdaten zu Accounts von Bank- und Bezahlsystemen, sozialen Netzwerken, Online-Shops, File-Sharing-Systemen, Mail-, Game- und FTP-Services sowie Domain-Registrierungsdiensten. Zudem ist Beta Bot in der Lage, auf Befehl die DNS-Einstellungen auf einem infizierten Computer zu verändern, Dateien aus dem Internet zu laden, DDoS-Attacken durchzuführen und Kopien seiner selbst über Skype und USB-Speichermedien zu verbreiten.

Laut RSA ist der wiedererweckte Bank-Trojaner überaus reich an Selbstschutzmechanismen, die zudem auf dem neusten technischen Stand sind. Beta Bot erkennt Versuche einer Ausführung in einer virtuellen Umgebung sowie Sandboxes und er kann Antivirenprogramme und Update-Mechanismen deaktivieren. Indem er Veränderungen in den DNS-Einstellungen vornimmt, blockiert der Schädling effektiv den Zugriff auf Sicherheitswebsites und leitet den Anwender anstatt auf diese auf eine von dem Botmaster vorgegebene IP-Adresse um. Überdies befreit er sich mitleidlos von Konkurrenten auf einem befallenen Rechner: Er beendet ihre Prozesse und verhindert das Einschleusen von Code in die Systemprozesse.

Interessant ist auch die Methode, die die Autoren des Trojaners gewählt haben, um die Privilegien in einem infizierten System zu erhöhen. Unter Verwendung von Social-Engineering-Tricks bringt Beta Bot den Anwender dazu, einen Mechanismus zur Kontrolle der Windows-Konten zu starten und im Verlauf des Dialogs mit dem System die notwendige Erlaubnis zu geben. Dieser Prozess ist im Blog von G Data detailliert beschrieben. Die Experten erklären zudem, dass der Schädling Geocodierung einsetzt und in der Lage ist, betrügerische Mitteilungen in 10-12 Sprachen auszugeben.

Gemäß den Analyseergebnissen von RSA unterscheidet sich Beta Bot von modernen Bank-Trojanern durch eine große Menge Binärcode und das Fehlen einer Plugin-Unterstützung. Die Steuerung des Trojaners erfolgt über ein Webinterface; sein C&C migriert fortwährend, allerdings bevorzugen die Botmaster eindeutigholländisches, indisches und litauisches Webhosting.

Von den Fortschritten im Bereich der Schutztechnologien angetrieben, perfektionieren die Entwickler von Trojan-Bankern ihre Machwerke immer weiter, indem sie deren Funktionalität komplexer gestalten. Im vergangenen April wurden interessante Beweise für die Aktualisierung von Shylock gefunden– ein Trojaner, der Bankdaten in erster Linie mittels der Methode man-in-the-browser stiehlt. Nachdem er die nächste Evolutionsstufe erreicht hatte, begann dieser Trojaner, unrentable und gut geschützte Ziele links liegen zu lassen, und die Reorganisation seiner C&C-Infrastruktur ermöglichte es den Botmastern nun, Ausfälle bei hohen Belastungen zu vermindern. Im selben Monat erschien die Nachrichtvon einem neuen Toolkit, das auf der Basis von ZeuS entwickelt wurde und auf Bestellung mit einem Administrationspaneel ausgestattet wird. Dieses Set wurde auf Facebook und anderen sozialen Netzwerken zum Kauf angeboten.

Quelle: RSA

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.