Ihre Daten gehören uns

Original Artikel von Robert McArdle (Advanced Threats Researcher, Trend Micro)

Wir von Trend Micro Research haben vor Kurzem eine kurze Blog-Serie zu Pushdo veröffentlicht, einem Bot-Netz, das für eine beachtlich lange Zeit unentdeckt blieb. Pushdo ist aber nicht das einzige Bot-Netz, dem dies gelang: Da gibt es auch noch Ilomo.

Auch Ilomo ist bereits seit einigen Jahren aktiv und blieb wie Pushdo von der Sicherheitsbranche relativ unbemerkt. Wie Pushdo besteht auch Ilomo aus einzelnen Bausteinen, wodurch es schwierig ist, die Aktionen der gesamten Bedrohung zu sehen. Hinzu kommt, dass Ilomo seinen Binärcode mit einem kommerziellen Obfuscator für virtuelle Maschinen verschleiert, so dass das Reverse Engineering der Malware viel aufwendiger wird.

Der Geschäftsplan von Ilomo besteht aus zwei Teilen. Der erste ist der gute alte Datendiebstahl. Ilomo infiziert den Browser mit seinem Code. Dann überwacht er die Internet-Verbindung und wartet darauf, dass der Benutzer sich bei einem von über 4.000 Banken-, Finanz- oder Webmail-Konten anmeldet. Ilomo gibt sich jedoch nicht einfach mit den Diebstahl von Anmeldedaten zufrieden: Er kann sich auch beim Online-Banking einklinken, Überweisungen vom Konto eines infizierten Benutzers tätigen und das sichere Zugangssystem der Bank zur Farce machen. Außerdem sammelt Ilomo alle anderen Anmeldedaten auf dem Computer, z. B. von FTP-Programmen, Webservern, lokalen Administratoren usw. Mit diesen Daten wird Ilomo dann im Netzwerk verbreitet, damit er Webserver online kontrollieren kann, um neue Versionen der Malware zu hosten.

Ilomo C&C-Serververteilung. Zum Vergrößern klicken

Die zweite Einnahmequelle von Ilomo besteht darin, „Anonymität als Service“ zu verkaufen. Jeder durch Ilomo infizierte Computer verhält sich wie ein Proxy, so dass Kriminelle ihre illegalen Aktivitäten über verschiedene Netzwerke und Länder abwickeln können. In diesem Proxy-Netzwerk können Kriminelle nicht nur ihre Identität verstecken; es ist auch ausgesprochen hilfreich beim Angriff auf eine andere Verteidigungsmaßnahme, die in vielen Banken-Sites eingebaut ist – dass der Zugriff nämlich nur aus bestimmten Ländern möglich ist. Wenn ein Krimineller auf eine brasilianische Bank zugreifen muss, nutzt er einfach einen durch Ilomo infizierten Computer in Brasilien, um die Verbindung herzustellen.

In diesem Beitrag haben wir nur einige der ganz allgemeinen Informationen zu Ilomo angesprochen. Wenn Sie mehr über Ilomo (und die technischen Aspekte, die wir hier nicht ausführen konnten) wissen wollen, schauen Sie sich unser Whitepaper an:

Analyse von Ilomo/Clampi

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*