News

Trojan-Banker Dyreza umgeht SSL-Schutz

Bankentrojaner empfehlen sich selbst als zuverlässiges und effektives Werkzeug für Cyberattacken, bei denen heimlich große Geldsummen gestohlen werden. ZeuS, Carberp und viele andere Banker machen ihre Schöpfer, und diejenigen, die sie gewinnbringend einsetzen, zuverlässig immer reicher und reicher. Aktuell untersuchen Experten einen neuen Schädling, der in der Lage ist, den SSL-Schutz von Verbindungssitzungen mit Online-Banking-Systemen zu umgehen, und zwar durch die Umleitung des Traffics auf Scheindomains.

Der Trojaner, den die Forscher auf den Namen Dyre oder Dyreza getauft haben, verwendet eine Technik, die als browser hooking (Abfangen der Browseranfragen) bekannt ist, um den Traffic abzufangen, der zwischen dem Computer des Opfers und der Ziel-Website ausgetauscht wird. Dyreza ist in der Lage, die Sitzungen in Google Chrome, Mozilla Firefox und dem Internet Explorer abzufangen.
Dieser Schädling gelangt via Spam auf die Maschine, häufig in Form von gefälschten Benachrichtigungen von Finanzorganisationen. Die Liste der Ziele von Dyreza umfasst unter anderem die Bank of America, Natwest, Citibank, RBS und die Ulsterbank. Gegenwärtig registrieren die Experten ein gesteigertes Interesse des Neulings an britischen Finanzinstituten.

Beim Öffnen des schädlichen ZIP-Anhangs installiert Dyreza sich im System und verbindet sich mit dem C&C-Server. Die Experten des dänischen IT-Unternehmens CSIS verschafften sich Zugriff auf zwei solche Server und entdeckten auf einem von ihnen ein integriertes Steuerungspaneel für „Dropper“, das mit einigen lettischen Accounts in Zusammenhang steht. Die Hauptaufgabe des neuen Trojaners ist natürlich der Diebstahl von Authentifizierungsdaten für Online-Banking-Systeme und andere Finanz-Sites.

Bankentrojaner lösen diese Aufgabe auf unterschiedliche Weise; die Entwickler von Dyreza fangen die Kommunikation mit dem Browser ab, was ihnen dabei hilft, den SSL-Schutz zu umgehen. „Wenn Sie sich mit Hilfe eines Browsers im Internet bewegen, kontrollieren die Angreifer diesen Traffic“, erklärt Peter Kruse, Forscher bei CSIS. „Sie setzen die Technik MitM (Man-in-the-Middle) ein und erhalten als Ergebnis in offener Form Einblick in alles, was sie sehen möchten, selbst den SSL-Traffic.“

Wenn der Anwender die Ziel-Website besucht und versucht, sich anzumelden, fängt der Schädling seine Daten ab und sendet sie seinen Herren. Visuell ist dieses Abfangen ebenso wie das Umleiten des Traffics auf eine Scheindomain und die fehlende Verschlüsselung überhaupt nicht zu verfolgen. „Das ist gerade der Witz an der Sache, denn all das sollte verschlüsselt sein und nie in Klartext übermittelt werden“, kommentiert Ronnie Tokazowski von dem Unternehmen PhishMe, das den neuen Banker ebenfalls einer Analyse unterzogen und ihn Dyre getauft hat. „Durch einen solchen Trick können Angreifer für Sie den Eindruck erwecken, dass die Daten auf der betreffenden Site über das HTTPS-Protokoll übermittelt werden. Tatsächlich aber wird Ihr Traffic auf eine Seite der Cyberkriminellen umgeleitet.“

„Um den gewünschten Effekt der Traffic-Umleitung zu erzielen, müssen die Angreifer die Möglichkeit haben, den Traffic vor der Verschlüsselung einzusehen“, erklärt Tokazowski die Angriffstechnik. „In diesem Fall wird das durch die als browser hooking bekannte Methode erreicht. Dabei werden keine DNS-Anfragen an die zur Bank of America gehörende Domain c1sh durchgeführt, und das führt zu der Vermutung, dass die Angreifer den entsprechenden Namen einfach im Feld Host im Netzwerktraffic hinzugefügt haben.“

Quelle: Threatpost

Trojan-Banker Dyreza umgeht SSL-Schutz

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach