Getürkte Bilanzen auf BEBLOH-Art

Original Artikel von Jonathan Leopando (Technical Communications, Trend Micro)

Trend Micro Analysten sind auf eine neue Variante der BEBLOH-Familie von Informationsdieben gestoßen, die weit über die herkömmliche Taktik hinausgeht, bei der Tastatureingaben aufgezeichnet und zu Profitzwecken an einen anderen Server gesendet werden. Stattdessen entwendet diese spezielle Variante Benutzerdaten, verwendet sie direkt und verbirgt dies geschickt vor dem Benutzer.

Diese bestimmte Variante TSPY_BEBLOH.AE verbindet sich bei Ausführung sofort mit einem C&C-Server. Sie lädt von besagtem Server eine verschlüsselte Konfigurationsdatei herunter, wie unten angezeigt:

Klicken
Abbildung 1: Abgefangener Datenverkehr zwischen infiziertem System und C&C-Server

Die Konfigurationsdatei enthält Schlüsselinformationen, von denen die wichstigste der Name der Bank ist, auf die der Angriff abzielt. Wenn sich der Benutzer in die sichere Online-Banking-Website der Zielbank einwählt, werden sowohl Benutzername als auch PIN von der Malware aufgezeichnet.

Anstatt die Kontodaten jedoch per E-Mail oder Website an Cyber-Kriminelle zu senden, stiehlt die Malware mit diesen Daten Geld vom Konto. Bei Aufforderung vom zentralen C&C-Server (mit dem sie regelmäßig kommuniziert) bucht sie Geld vom Konto des Benutzers auf ein in der Konfigurationsdatei angegebenes Konto um (auch der Betrag basiert auf verschiedenen Parametern in der besagten Datei; die Werte dieser Parameter sind so gewählt, dass sie das Entdeckungsrisiko weitgehend minimieren).

Und im letzten Schritt verbirgt sie ihre bösartigen Transaktion vor dem Benutzer. Wenn dieser versucht, statische Seiten mit Informationen wie aktueller Kontostand, Umsatzanzeige und getätigte Transaktionen anzuzeigen, schreibt die Malware diese Seiten in Echtzeit neu, so dass bereits stattgefundene Diebstähle vor dem Benutzer geheimgehalten werden. Opfer haben also keine Möglichkeit, diesem Diebstahl auf die Schliche zu kommen – erst dann, wenn sie mit einem nicht infizierten Computer auf die Online-Banking-Website zugreifen oder die gewünschten Daten an einem Geldautomaten o. ä. abrufen.

Das Trend Micro Smart Protection Network entdeckt und entfernt diese bösartige Bedrohung.

Ein Gedanke zu „Getürkte Bilanzen auf BEBLOH-Art

  1. Pingback: Achtung Halloween – Der Spuk der Cyberkriminellen beginnt » markus-arlt.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*