Zuwachs in der Banker-Horde

Schadprogramme, spezialisiert auf den Diebstahl von persönlichen Zugriffdaten auf Banksysteme, bereiten den Finanzinstituten schon lange Kopfzerbrechen. Analysten sprechen von Verlusten in Millionenhöhe, und die Kunden beklagen sich, dass ihnen der Schaden nicht ersetzt wird.

 

Anzahl der bei Google gefundenen Seiten für die
Suchbegriffe „gestohlen+Geld+Bank+Trojaner“

In dieser Situation wird das Erscheinen eines weiteren Programms nicht mehr als die Sensation schlechthin aufgenommen, doch es demonstriert sehr schön die Methoden und Mittel, die von den Betrügern bei der illegalen Bereicherung eingesetzt werden.

Gumblar-Attacke

Wie sich mancher vielleicht erinnert, wurde im Frühjahr 2009 ein massenhafter Hack von Websites bekannt. Der dabei verwendete Skript-Downloader Gumblar legte einmal mehr den Finger in die verwundbarsten Punkte der Sicherheitsorganisation bei der Arbeit im Internet und sein Verbreitungsmodell gehörte innerhalb eines Jahres bereits zu den Klassikern. Mittlerweile wird es zur Verbreitung einer Fülle von Schädlingen verwendet.

Verbreitungsschema von Gumblar. Quelle: www.digitalthreat.net

Seither hält sich Gumblar auf Platz eins unserer Monatsstatistik, und die Analysten behalten die gehackten Sites im Auge. Im Zuge dieser Beobachtung wurden verschiedene Methoden zur Infizierung von Webressourcen registriert, wobei die wichtigste in der Verwendung gestohlener FTP-Zugriffspasswörtern bestand. Die vielfache Infizierung von Websites, selbst nach deren Desinfizierung durch die Administratoren, zeugt von der ununterbrochenen Aktivität der Betrüger und von dem offensichtlichen Wert, den angreifbare Ressourcen für sie darstellen.
Während des Aufrufs der neusten von Gumblar befallene Website wurde der Testcomputer mit der neusten Version von Bredolab infiziert (unter Verwendung der neusten Schwachstelle in den Adobe-Produkten).

 

Teil des Speicherdumps des Rootkit-Downloaders Backdoor.Win32.Bredolab

Das Schema ist bekannt, eines hat uns dennoch überrascht: Während wir die Aktivität des Trojaners Bredolab beobachteten, bemerkten wir, dass er offensichtlich Interesse an dem Registry-Zweig“HLMSoftwareBIFIT” hat, in dem sich die Informationen über ein auf dem Computer installiertes Programm zur Verbindung mit Banken enthält, das von der Firma BIFIT entwickelt wurde. Im Folgenden wurde auf dem infizierten Computer zusammen mit dem nächsten Update aus der Kommandozentrale des Botnetzes ein Programm installiert, das auf den Namen Trojan-Banker.Win32.Fibbit.a getauft wurde.

Fibbit

Beim Start kopiert sich dieses Schadprogramm selbst in die Datei %windir%system32winsrv32 либо в %TEMP%winsrv32.exe. Aus seinem Body extrahiert es die ausführbare Datei und übergibt dieser die Steuerung, indem es sie in die Prozesse svchost.exe, explorer.exе, iexplore.exe, firefox.exe, opera.exe, java.exe, javaw.exe. einschleust. Der Schädling schreibt sich zudem in den Autostart und fügt den Prozess svchost.exe den Ausnahmen hinzu, um eine Blockierung seiner Funktion durch die Standard-Firewall von Windows zu vermeiden. Der Trojaner sucht im System nach Fenstern mit den Klassennamen SunAwtFrame, javax.swing.JFrame, MSAWT_Comp_Class, die mit den Überschriften „Login“, „Willkommen“ oder „Synchronisierung mit der Bank“ versehen sind. Werden solche Fenster gefunden, fängt der Trojaner die Eingabe über die Tastatur ab, kopiert die Daten aus dem Browser, sucht Datei-Zertifikate mit der Erweiterung “.jks”, erstellt Screenshots und versucht die Datei „keys.dat“ zu lesen. Alle so erhaltenen Daten werden in einem Cab-Archiv gepackt und an den Server der Cyberkriminellen gesendet.

Als das Unternehmen BIFIT Mitte des Jahres 2008 die Banken und Anwender vor dem Trojaner warnte, der in der Lage ist Geld über das System “iBank 2” abzuziehen, wurden die für den Zugang zum Online-Banking benötigten gestohlenen Daten den Kriminellen an die Adressen i-bifit.com und i-bifit.in übermittelt. Heute befinden sich die Sites, die die von Fibbit gestohlenen Informationen über Finanztransaktionen enthalten, auf dem den Analysten wohlbekannten autonomen System AS29371, das von den Online-Betrügern zu vielerlei üblen Zwecken genutzt wird.

 

Beispiel für den Standort eines Servers für Weitergabe von Schlüsselinformationen
zur Durchführung von Banktransaktionen

Haben die Kriminellen alle nötigen Informationen erhalten, geben sie dem Trojaner den Befehl, den Zugriff des Anwenders auf die Bank-Services zu blockieren. Bei dem Versuch, auf die entsprechende Website zu gelangen, öffnet sich auf dem Bildschirm des Anwenders ein Fenster mit einer Mitteilung über technische Arbeiten, die angeblich auf dem Server durchgeführt werden:

 

Fenster, das vom Trojaner angezeigt wird, nachdem er die Verbindung zu der Bank blockiert hat

Indem die Kriminellen den Zugang des Kunden auf die Services der Bank blockieren, versuchen sie einerseits zu verhindern, dass der Anwender den Diebstahl seines Geldes bemerkt und andererseits, Zeit für Transaktionen über „Strohkonten“, elektronische Brieftaschen und Online-Wechselstuben zu gewinnen, um ihre Spuren zu verwischen und die Aufhebung der Transaktion unmöglich zu machen.
Nach Vollendung seiner Tätigkeit entfernt der Trojaner seinen Prozess, löscht sich jedoch nicht selbst, wodurch den Cyberkriminellen die Option bleibt, wiederholt Geld vom Konto des infizierten Anwenders zu stehlen.

Ergebnisse einer Woche

Eine Woche nach der Entdeckung von Trojan-Banker.Win32.Fibbit.a tummelten sich in der Schädlings-Datenbank von Kaspersky Lab bereits mehrere hundert Exemplare dieses Schadprogramms. Eine Analyse ihrer Unterschiede deutet auf eine Verwendung von einfachen Kryptoren hin, mit deren Hilfe die Malwareautoren versuchen, die Entdeckung des Trojaners durch Antiviren-Programme zu erschweren.

Den vom Kaspersky Security Network gesammelten Daten zufolge wird dieser Trojaner täglich um die hundert Mal gefunden, und Verbindungsversuche mit auf der Schwarzen Liste stehenden Ressourcen, auf die die gestohlenen Bank-Zugangsdaten geschickt werden, wurden insgesamt über eintausend Mal blockiert. Unter Berücksichtigung des Anteils von Kaspersky Lab auf dem russischen Markt, kann man davon ausgehen, dass dieses Schadprogramm in Russland auf ungefähr 8000 Computern installiert ist.

Die Analyse des Programms Trojan-Banker.Win32.Fibbit.a hat gezeigt, dass es dieselben Technologien verwendet, die auch in so berüchtigten Trojanern wie Trojan-Spy.Win32.BZub und Trojan-Spy.Win32.Zbot umgesetzt wurden. Die Autoren haben das Rad nicht neu erfunden, sondern sich vielmehr mit absoluten Standardmethoden beholfen. Die Zahl der infizieren Computer ist ein wenig erschreckend, daher ist es geboten die Ratschläge, die die Firma BIFIT ihren Kunden gibt, an dieser Stelle zu zitieren:

  • Achten Sie darauf, dass nur ein beschränkter Personenkreis Zugriff auf Ihren Computer hat.
  • Verwenden Sie nur Systemsoftware und Anwendungen aus vertrauenswürdigen Quellen, die garantiert frei von Schadprogrammen sind, und aktualisieren Sie diese umgehend. Dabei muss die Vollständigkeit der auf Speichermedien erhaltenen oder aus dem Internet heruntergeladenen Updates unbedingt gewährleistet sein.
  • Verwenden Sie spezielle Software zum Schutz von Informationen und aktualisieren Sie diese umgehend — Antiviren-Software, Personal Firewall, Schutz vor nicht sanktioniertem Zugriff und ähnliches.
  • Beachten Sie die Sicherheitsregeln bei der Arbeit im Internet.

Außerdem sollte jeder Kunde, der Fehler bei der Verbindung mit dem Bankserver bemerkt, umgehend (!) mit der Bank Kontakt aufnehmen und sich nach dem technischen Zustand der Server und den zuletzt durchgeführten Transaktionen erkundigen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.