„Zeus“ verbirgt seine Absichten in einem Digitalfoto

Experten haben eine Variante des Banken-Trojaners ZeuS entdeckt, die vertrauliche Daten erhält, indem sie eine JPG-Datei hoch lädt. Es scheint, als hätten die Autoren dieser schädlichen Neuheit Schlüsselinformationen im Code eines harmlosen Schnappschusses versteckt, in der Hoffnung, sich so vor Blockierung zu schützen.

Das ungewöhnliche Verhalten des Bankers fiel als erstes einem französischen Forscher auf, bekannt unter dem Pseudonym Xylitol: Der Schädling lud eine bestimmte JPG-Datei von genau dem Server, auf dem andere ZeuS-Komponenten platziert waren. Daraufhin fand Xylitol in dieser Datei Hinweise auf Steganographie und teilte seine Entdeckung Jerome Segura von Malwarebytes mit.

Eine genaue Analyse des von ZeusVM – wie diese Spielart bei Malwarebytes getauft wurde – hochgeladenen Bildes hat gezeigt, dass die Virenautoren eine willkürliche Fotografie aus dem Internet genommen und ihrem Code verborgene Daten hinzugefügt haben. Nach Angaben der Experten wurde die Zielinformation in Base64 verschlüsselt und danach mit Hilfe von RC4 und XOR. Nach ihrer Dechiffrierung zeigte sich, dass die JPG-Datei die Adressen von Ziel-Banken enthält, unter anderem von der Deutschen Bank, Wells Fargo und Barclays. Mit Hilfe dieser Liste konnte ZeusVM verfolgen, wenn die Opfer sich im Online-Banking-System einloggten, woraufhin sie die Anmeldedaten abfingen und mit deren Hilfe betrügerische Transaktionen durchführten.

Der Einsatz von Steganographie als Mittel zur Tarnung von Schadcode ist keineswegs ein neuer Trick – Virenschreiber wissen diese Technik schon recht lange zu schätzen. „Diese Methode zum Verbergen von Schadcode ermöglicht es, Signatur-basierte Detektionssysteme und sogar Antiviren-Software erfolgreich zu umgehen“, bemerkt Segura. „Website-Administratoren neigen dazu, alle Bilder als sauber einzustufen, erst recht, wenn sie sich normal öffnen lassen.“

Leider hat die Veröffentlichung des Quellcodes des leistungsstarken Banken-Trojaners den Virenschreibern und Botnetz-Betreibern das Leben wesentlich erleichtert. Schon mehr als zwei Jahre schießen maßgeschneiderte ZeuS-Versionen mit neuen Modulen und Funktionen wie Pilze aus dem Boden. Vor zwei Tagen erschien beispielsweise auf NetworkWorld.com die Nachricht von einer Variante, die mit dem Ebenbild eines Such-Bots ausgestattet ist. Dieser ZeuS attackiert Anwender des CRM-Systems Saleforce.com: Er verfolgt die Autorisierung bei dieser SaaS-Anwendung und greift Business-Daten ab. „Er hat in weniger als 10 Minuten mehr als 2 GB gestohlen“, erklärte gegenüber Net Work Tal Klein, Marketing-Vize-Präsident des israelischen IT-Unternehmens Adallom, und fügte hinzu, dass sein Unternehmen zum ersten Mal mit einer solchen Art konfrontiert wurde, ZeuS einzusetzen.

Quelle: networkworld

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.