Trojan-Spy.Banker – der nächste Entwicklungsschritt

Kürzlich bin ich einer höchst interessanten Attacke durch einen Trojan-Spy.Banker auf den Grund gegangen. Es handelt sich um einen mehrstufigen Angriff, der sich von allem bisher da gewesenen unterscheidet.

Zunächst wird die Maschine mit einem Trojan-Downloader mit Spionagefunktionalität infiziert, der sich selbst installiert, indem er zwei Systemdateien patcht – kernel32.dll und wininet.dll.

Dieser Trojaner übermittelt die vom User besuchten Websites an einen schädlichen Webserver. Erkennt der Trojaner an den Webserver gesendeten HTTPS-Traffic, weist der Server den Trojaner an, eine Datei herunter zu laden. Dabei handelt es sich selbstverständlich erneut um ein trojanisches Programm, das nun seinerseits den HTTPS-Traffic abfängt, und zwar in den meisten Fällen HTTPS-Traffic von Online-Banking-Sites. Nach einer Weile weist der Server den Trojaner abermals an, eine Datei zu laden, und zwar einen eigens auf die Bank des Users abgestimmten Trojan-Banker.

Die Ausnutzung des HTTPS-Trafficloggers ermöglicht es den Cyberkriminellen, Trojan-Banker zu entwickeln, die auf bestimmte Banken spezialisiert sind. Kurz gesagt: Die Raffinesse dieser Attacke ist beängstigend, denn sie ist auf höchste Effektivität und die Umgehung der Sicherheitsprodukte zugeschnitten. Ich hatte gehofft, dass uns Angriffe dieser Art mindestens bis zum nächsten Jahr erspart bleiben würden, aber die Malware-Entwicklung ist nicht wirklich vorhersehbar.

Der Herausforderung, diese neuen Bedrohungen zu bekämpfen, werden sich alle beteiligten Seiten stellen müssen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.