Wiederauferstehung des Bankers ZeuS als Atmos

Alte Bedrohungen, die schon viele Male ihre Effizienz unter Beweis gestellt haben, können sich manchmal als noch quicklebendig erweisen, wie im Fall des neunjährigen Bankenschädlings ZeuS. Die Forscher aus dem dänischen Unternehmen Heimdal Security warnen vor einer neuen, viel versprechenden Reinkarnation dieses gefährlichen Trojaners mit dem Namen Atmos, die sich bisher nur gegen Banken in Frankreich richtet.

Eine Analyse des Atmos-Codes hat gezeigt, dass er ein polymorpher Nachfolger von Citadel ist, der SaaS-Modifikation von ZeuS. „Wir hatten gehofft, dass Citadel und ZeuS sich schon lange für immer verabschiedet haben“, kommentiert Morten Kjaersgaard, CEO von Heimdal. „Allerdings erweist sich dieser Malware-Stamm als erstaunlich zählebig, da seine Autoren die Grundcodes und die Elemente, die das Anpassen an sich ändernde Bedingungen ermöglichen, ständig modernisieren.“

Atmos wurde Ende vergangenen Jahres entdeckt, die Dänen beobachten ihn etwas über einen Monat in freier Wildbahn. Nach Angaben von Heimdal benutzt der neu aufgetretene Banker dieselben Web-Injects wie auch ZeuS. Steuerungsserver des Schädlings befinden sich in Vietnam, Kanada, der Ukraine, Russland, den USA und in der Türkei. Gegenwärtig wurden etwa 1.000 Atmos-Infektionen registriert, allerdings erwarten die Experten, dass diese Zahl steigen wird.

Über die zu erwartenden Angriffsvektoren und Infektionsszenarien durch den neuen Banker ist es noch zu früh zu urteilen, sagt Kjaersgaard. Die aktuellen Atmos-Varianten werden über schädliche Werbebanner, gehackte Sites und Phishing-Mitteilungen verbreitet. Nach der Infektion sammelt der Schädling Daten oder wartet einfach heimlich, still und leise auf den passenden Moment, um Registrierungsdaten abzufangen.

Es wurde auch ein Fall registriert, in dem dieser Trojaner zusammen mit Ransomware ausgeliefert wurde. „Nachdem sie alles, was nur geht, aus einem System gestohlen haben, laden die Cybergangster, die hinter Atmos stecken, einen Erpresserschädling (Teslacrypt), um ihre Beute mit dessen Hilfe noch zu vervielfachen“, bestätigte Kjaersgaard gegenüber Threatpost.

Nach Einschätzung der Forscher ist Atmos ein Vertreter einer neuen Generation von Schädlingen, deren Autoren äußerst bemüht sind, alles sehr genau und sorgfältig zu machen. „Diese Jungs sind es leid, Spaghetti-Code zu schreiben und darauf zu warten, dass irgendetwas funktioniert“, erläutert Kjaersgaard. „Die Zeit ist ihnen jetzt nicht zu schade, sie führen Qualitätskontrollen durch, steigern ihre Produktivität schrittweise und gehen erst dann zur Durchführung gut durchdachter Attacken über.“

Nach Meinung des Experten befindet sich Atmos noch in einem frühen Entwicklungsstadium, allerdings lässt sich jetzt schon eine breitere und aggressivere Expansion voraussagen, die über die Grenzen Frankreichs und auch über die Bankenbranche hinausgeht.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.