Banking-Malware wieder auf dem Vormarsch: Nordamerika und Europa sind am meisten betroffen

Originalbeitrag von Abraham Camba (Threat Researcher)

Online-Banking-Anwender in Europa und Nordamerika sehen sich mit dem Wiederaufkommen von DYRE konfrontiert. Dabei handelt es sich um eine Malwarefamilie, die insbesondere für ihre vielen Varianten, Daten zu stehlen, bekannt ist. Außerdem wird sie mit zahlreichen Einschüchterungsversuchen von Cyberkriminellen wie den so genannten „Parcel Mule Scam“ in Verbindung gebracht. In ersten Quartal dieses Jahres hat die Zahl der weltweiten Infektionen im Zusammenhang mit DYRE verglichen mit dem Dreimonatszeitraum davor um 125 Prozent zugelegt – ein Beleg mehr für das weiter wachsende Interesse von Cybergangstern am Online-Banking.

DYRE_Abbildung1

Abbildung 1: Infektionen im Zusammenhang mit DYRE (auf tausend abgerundet)

Von den weltweiten Infektionen im ersten Quartal sind weit über 70 Prozent Anwender aus Europa (39 Prozent) und Nordamerika (38 Prozent) betroffen. An dritter Stelle kommen mit 19 Prozent Opfer aus dem asiatisch-pazifischen Raum. Für Deutschland, die Schweiz und Österreich wurden rund 5,7 Prozent, knapp 2,1 Prozent und 0,7 Prozent der weltweiten Infektionen registriert.

DYRE_Abbildung2a_neu

Abbildung 2: Verteilung der DYRE-Infektionen nach Regionen im 1. Quartal 2015

Lange Zeit sah es so aus, als seien Infektionen mit Online-Banking-Malware ein nordamerikanisches Problem, wenngleich bekannte Online-Banking-Schädlinge wie DRIDEX auch in Europa ihr Unwesen trieben. Angesichts der Verbreitung von DYRE im asiatisch-pazifischen Raum sehen wir jetzt auch den Versuch der Online-Kriminellen, ihre Aktivitäten in diesem Bereich auf weitere Kontinente und Regionen auszudehnen.

Jüngste Spitzenaufkommen von bösartigen Anhängen in E-Mail-Nachrichten, die DYRE auf den Systemen der Anwender abladen, zeigen, dass der asiatisch-pazifische Raum jetzt deutlich mehr gefährliche E-Mail-Nachrichten erhält als die traditionellen Zielregionen. Von den vielen tausend mit DYRE verseuchten E-Mails, die wir in der ersten Maiwoche registriert haben, zielten 44 Prozent auf Anwender im asiatisch-pazifischen Raum, 39 Prozent auf mögliche Opfer in Europa und 17 Prozent auf Nutzer in Nordamerika.

DYRE_Abbildung2_neu

Abbildung 3: DYRE-Spamvolumen vom 1. bis 7. Mai 2015

Wir haben uns die Finanzinstitute näher angesehen, deren Webadressen in den gesammelten DYRE-Schädlingen enthalten waren. Darunter fanden sich mehrere multinationale Banken einschließlich ihrer diversen Länderniederlassungen, Abteilungen etc.

Spam lädt Upgrade-Version des UPATRE-Schädlings auf Systemen ab

Wir haben eine neue DYRE-Version in einer aktuellen Spam-Kampagne gefunden und entdecken diese nun als TSPY_DYRE.IK.

Das Beunruhigende an dieser Spam-Kampagne ist, dass sie einen weiteren Versuch darstellt, Online-Banking-Schädlinge zu entwickeln, die in der Lage sind, ihrer Entdeckung zu entgehen. Der bekannte DYRE-Vorgänger UPATRE ist Teil der Infektionskette in diesem Bedrohungsszenario. UPATRE ist seit langem bekannt dafür, als Downloader oder „Mittelsmann-Schädling“ für andere Schadsoftware wie ZBOT, CRILOCK oder ROVNIX zu fungieren.

Im vorliegenden Fall spielt UPATRE eine größere Rolle als die eines Downloaders für andere Malware. Die neue Variante ist der Lage, Erkennungsmechanismen auszuschalten und dadurch das Herunterladen von DYRE oder anderer Schädlinge auf die Systeme der Anwender zu erleichtern.

Zu den neuen Funktionalitäten von UPATRE gehören insbesondere:

  • Das Ändern bestimmter Registrierungseinträge, um Sicherheitsmechanismen von Firewalls oder im Zusammenhang mit Netzwerken auszuschalten
  • Das Außerkraftsetzen der Sicherheitsmechanismen von Firewalls oder im Zusammenhang mit Netzwerken, indem die damit zusammenhängenden Dienste gestoppt werden
  • Das Abschalten der Anti-Malware-Standardfunktionalität in Windows (Windows Defender)

Darüber hinaus haben wir vor kurzem eine UPATRE-Variante gesehen (die als TROJ_UPATRE.HM entdeckt wird). Diese wurde als Microsoft-Hilfsdatei im Compiled-HTML-Help-Format (.CHM) in einer Spam-Attacke gegen Kunden der Bank JPMorgan Chase & Co. eingesetzt.

Inhalt von UPATRE-Spam-Nachrichten

Wirft man einen Blick auf den Inhalt der Spam-E-Mail, wird sofort ersichtlich, dass die Cyberkriminellen typische Social-Engineering-Fallen stellen. Sie versuchen, ihren möglichen Opfern Angst zu machen, und verweisen auf ein vermeintliches Gesetz, das angeblich die Steuerschuld verdoppelt, um die Empfänger zum Öffnen der angehängten ausführbaren Datei (.EXE) zu bewegen. Das Thema Steuer scheint eine wirksame List zu sein, auf die Menschen leider hereinfallen.

DYRE_Abbildung3

Abbildung 4: Screenshot einer mit UPATRE verseuchten Spam-Nachricht

Die meisten Beispiele für diese Spam-Nachrichten, die wir gesehen haben, wurden in englischer Sprache verfasst. Offenbar haben die kriminellen Hintermänner für alle Zielregionen ähnliche Nachrichten verwendet, ohne Rücksicht auf die Erwartungen und Vorlieben hinsichtlich lokaler Sprachen und Banking-Gewohnheiten zu nehmen. Infolgedessen werden von der Attacke eher Länder und Regionen, in den Englisch sehr verbreitet ist, betroffen sein. Es ist allerdings in den künftigen Spam-Kampagnen mit der Verwendung von Nachrichten zu rechnen, die mehr an die regionalen und lokalen Bedingungen angepasst sind.

Was jetzt zu tun ist

Es ist immer gut, auf Gefahren wie DYRE vorbereitet zu sein. Wer das Online-Banking der eigenen Bank genau kennt, wird auf bösartige Spam-Kampagnen wie diese weniger hereinfallen. Zudem sollten Anwender Systeme, auf denen sie Online-Banking nutzen, mit einer vollumfänglichen Sicherheitssoftware ausstatten. Falls sie eine Infektion feststellen, sollten sie unverzüglich ihr Passwort ändern und die Transaktionen auf ihren Konten genau überwachen. Bemerken sie hier Unregelmäßigkeiten, sollten sie sofort ihre Bank informieren.

Von den Trend-Micro-Lösungen schützt insbesondere die Trend Micro™ Custom Defense™-Technologie Unternehmen vor Gefahren wie UPATRE, DYRE und CHM-Downloader. Sie entdeckt und analysiert komplexe Bedrohungen sowie Angriffsversuche und überwacht bösartiges Verhalten, um auch noch unbekannte Bedrohungen abzuwehren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*