Trojan-Banker Dyreza umgeht SSL-Schutz

Bankentrojaner empfehlen sich selbst als zuverlässiges und effektives Werkzeug für Cyberattacken, bei denen heimlich große Geldsummen gestohlen werden. ZeuS, Carberp und viele andere Banker machen ihre Schöpfer, und diejenigen, die sie gewinnbringend einsetzen, zuverlässig immer reicher und reicher. Aktuell untersuchen Experten einen neuen Schädling, der in der Lage ist, den SSL-Schutz von Verbindungssitzungen mit Online-Banking-Systemen zu umgehen, und zwar durch die Umleitung des Traffics auf Scheindomains.

Der Trojaner, den die Forscher auf den Namen Dyre oder Dyreza getauft haben, verwendet eine Technik, die als browser hooking (Abfangen der Browseranfragen) bekannt ist, um den Traffic abzufangen, der zwischen dem Computer des Opfers und der Ziel-Website ausgetauscht wird. Dyreza ist in der Lage, die Sitzungen in Google Chrome, Mozilla Firefox und dem Internet Explorer abzufangen.
Dieser Schädling gelangt via Spam auf die Maschine, häufig in Form von gefälschten Benachrichtigungen von Finanzorganisationen. Die Liste der Ziele von Dyreza umfasst unter anderem die Bank of America, Natwest, Citibank, RBS und die Ulsterbank. Gegenwärtig registrieren die Experten ein gesteigertes Interesse des Neulings an britischen Finanzinstituten.

Beim Öffnen des schädlichen ZIP-Anhangs installiert Dyreza sich im System und verbindet sich mit dem C&C-Server. Die Experten des dänischen IT-Unternehmens CSIS verschafften sich Zugriff auf zwei solche Server und entdeckten auf einem von ihnen ein integriertes Steuerungspaneel für „Dropper“, das mit einigen lettischen Accounts in Zusammenhang steht. Die Hauptaufgabe des neuen Trojaners ist natürlich der Diebstahl von Authentifizierungsdaten für Online-Banking-Systeme und andere Finanz-Sites.

Bankentrojaner lösen diese Aufgabe auf unterschiedliche Weise; die Entwickler von Dyreza fangen die Kommunikation mit dem Browser ab, was ihnen dabei hilft, den SSL-Schutz zu umgehen. „Wenn Sie sich mit Hilfe eines Browsers im Internet bewegen, kontrollieren die Angreifer diesen Traffic“, erklärt Peter Kruse, Forscher bei CSIS. „Sie setzen die Technik MitM (Man-in-the-Middle) ein und erhalten als Ergebnis in offener Form Einblick in alles, was sie sehen möchten, selbst den SSL-Traffic.“

Wenn der Anwender die Ziel-Website besucht und versucht, sich anzumelden, fängt der Schädling seine Daten ab und sendet sie seinen Herren. Visuell ist dieses Abfangen ebenso wie das Umleiten des Traffics auf eine Scheindomain und die fehlende Verschlüsselung überhaupt nicht zu verfolgen. „Das ist gerade der Witz an der Sache, denn all das sollte verschlüsselt sein und nie in Klartext übermittelt werden“, kommentiert Ronnie Tokazowski von dem Unternehmen PhishMe, das den neuen Banker ebenfalls einer Analyse unterzogen und ihn Dyre getauft hat. „Durch einen solchen Trick können Angreifer für Sie den Eindruck erwecken, dass die Daten auf der betreffenden Site über das HTTPS-Protokoll übermittelt werden. Tatsächlich aber wird Ihr Traffic auf eine Seite der Cyberkriminellen umgeleitet.“

„Um den gewünschten Effekt der Traffic-Umleitung zu erzielen, müssen die Angreifer die Möglichkeit haben, den Traffic vor der Verschlüsselung einzusehen“, erklärt Tokazowski die Angriffstechnik. „In diesem Fall wird das durch die als browser hooking bekannte Methode erreicht. Dabei werden keine DNS-Anfragen an die zur Bank of America gehörende Domain c1sh durchgeführt, und das führt zu der Vermutung, dass die Angreifer den entsprechenden Namen einfach im Feld Host im Netzwerktraffic hinzugefügt haben.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.