„Zeus“ suchtGeldwäscher

Die Auswahl der niederen Handlanger im Betrugsgeschäft, die die Konten für den Erhalt der gestohlenen Gelder halten und diese in Abständen abheben, um sie in die „Räuberkasse“ einzuzahlen, ist ein äußerst mühsamer Prozess. Um sich das Leben leichter zu machen, sind die Betreiber von ZeuS auf eine äußerst scharfsinnige Lösungverfallen. Sie nutzten die Funktionalität des Schädlings, um die Besucher der Website CareerBuilder [Punkt] com auf eine Ressource umzuleiten, die auf die Anwerbung von „Money-Mules“ spezialisiert ist.

Die Experten von Trusteer haben ein ungewöhnliches Schema einer Attacke vom Typ Man-in-the-Browser (MitB) bei der Analyse einer der Konfigurationsdateien von ZeuS entdeckt. Der Schädling beobachtete die Aktivität auf dem populären Job-Portal und schleuste on-the-Fly einen Werbelink auf der im Browser dargestellten Webseite ein. Nach Aussage der Ermittler war die auf diese Weise präsentierte Site MarketAndTarget [Punkt] com, auf der „aktuelle“ Stellen angeboten werden, reißerisch gestaltet, doch sie strotzte, wie auch andere Ressourcen dieser Art, vor Grammatik- und Syntaktik-Fehlern. Dort fand sich ebenfalls Werbung einer verwandten Website mit ähnlichem Namen, die sich bereits als betrügerisch empfohlen hatte. Nach Angaben von Trusteer wurde der von „Zeus“ betreute Rekrutierungsservice bereits offline genommen.

Der Entwicklungsleiter von Trusteer im Bereich Betrugsprophylaxe, Etay Maor, erläutert, dass er es erstmals mit einem Fall von HTML-Einschleusung in Form eines Links zu tun hatte. Die Cyberkriminellen benutzen ihn als Zwischenglied in diesem Betrugsschema und versuchen dabei nicht, persönliche Authentifizierungsdaten oder andere Informationen zu stehlen. Zur Erinnerung: ZeuS ist ein Banken-Trojaner, der Web-Einschleusungen verwendet, die normalerweise auf konkrete Bank-Programme ausgerichtet sind. Wenn sich ein infiziertes Opfer im Online-Banking-System einloggt, wird der Schädling aktiviert und fängt die eingegebenen Autorisierungsdaten, Kreditkarteninformationen und anderer persönliche Daten ab.

“In diesem Fall beobachten wir eine seltene Art von html-Einschleusungen, wobei versucht wird, das Opfer auf eine gefälschte Stellenanzeige umzuleiten.“, kommentiert Maor. „Da der eingeschleuste Link während der aktiven Jobsuche abgebildet wird, nimmt das Opfer das Angebot für bare Münze. Die Ausnutzung von CareerBuilder als Aufmarschgebiet ermöglicht es den Betreibern von ZeuS, die Schar der potentiellen Geldwäsche-Kandidaten zu erweitern.“

Der ursprüngliche Infektionsmechanismus ist im neuen ZeuS noch nicht verankert. Üblicherweise verbreitet sich dieser Trojaner über Drive-by-Downloads oder mittels Spam-Versendungen. Die Angriffe des Typs MitB können nicht nur von Vertretern der Familie ZeuS durchgeführt werden, sondern auch von vielen anderen Banken-Schädlingen.

Bleibt anzumerken, dass der Missbrauch von Websites mit Stellenangeboten keine Seltenheit ist. Solche Ressourcen ziehen schon seit langem die Aufmerksamkeit krimineller Elemente auf sich, insbesondere solcher, die Money-Mules anwerben – also bewusste oder unfreiwillige Betrugshelfer. „Ich kenne einen Fall, in dem Cyberkriminelle vor sieben, acht Jahren ein Jobportal angegriffen haben.“, sagt Maor. „Normalerweise agieren sie eher intern, d.h. im Rahmen des Betrugsschemas selbst platzieren sie auf der Website Stellenangebote und werben ihre Geldesel. In meiner Praxis hatte ich es auch schon mit veröffentlichten Bewerbungen zu tun, die einen Link auf eine Drive-by-Seite enthielten, wo der Besucher mit einem Passwörter stehlenden Schädling beschert wurde.“

Quelle: Trusteer

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.