August im Zeichen von ZeuS/ZBOT-Spam

Originalartikel von Merianne Polintan, Anti-spam Research Engineer

Bereits während des zweiten Quartals dieses Jahres war eine Rückkehr der Online-Banking-Schädlinge zu beobachten. Vor allem ZeuS/ZBOT-Varianten traten häufiger in Erscheinung. Auch im August enthielten 23 Prozent der bösartigen Anhänge in Spam-Kampagnen ZeuS/ZBOT- und 19 Prozent FAREIT-Varianten.

Die ZeuS/ZBOT-Varianten stellten zudem die am häufigsten über Spam-Botnets bei Internet Providern verbreitete Schadsoftware. Des Weiteren steht die Malware in Verbindung zu verschiedenen Wurmfamilien, die sich selbst oder weitere Schädlingsfamilien via E-Mail verbreiten können. Ein mit ZeuS/ZBOT infiziertes System könnte somit auch von etwa fünf anderen Wurmvarianten, etwa WORM_MYDOOM, WORM_VB und WORM_BAGLE, befallen sein.

Bild 1. Über Spam verbreitete Schädlingsfamilien

Der Großteil des ZeuS/ZBOT oder FAREIT umfassenden Spams ahmt legitime Nachrichten besser nach und täuscht auch bekannte Marken oder Unternehmen als Absender überzeugender vor.

Bild 2. Muster von FAREIT-Spam

Bild 3. Muster von ZeuS/ZBOT-Spam

Sobald die Schadsoftware installiert ist, überwacht sie das Browsing-Verhalten der Anwender auf bestimmten Online Banking-Seiten. Geht ein Nutzer auf eine dieser Sites und versucht sich mit seinen Zugangsdaten anzumelden, fügt der Schädling ein zusätzliches Eingabefeld für die Nutzer ein und greift dann diese Informationen ab. Cyberkriminelle können mit den gestohlenen Daten entweder nicht autorisierte Transaktionen starten oder sie auf dem Untergrundmarkt verkaufen.

FAREIT ist eine weitere auf Datendiebstahl zugeschnittene Schadsoftware, die E-Mails und FTP-Zugangsdaten sammelt. Die Malware kann auch andere Schädlingsvarianten herunterladen, einschließlich Zeus/ZBOT. Ein Beispiel dafür lieferte steuerbezogener Spam in Großbritannien, der eine FAREIT-Variante ablegte, die dann eine ZBOT-Malware herunterlädt.

Trend Micro blockiert die Spam-Nachrichten und erkennt die Schadsoftware.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*