HTTPS und SSL – Keine Hindernisse für PASSTEAL

Originalartikel von Alvin John Nieto, Threat Response Engineer

Cyberkriminelle kennen den Wert von Informationen genau, und deshalb erfinden sie immer neue Möglichkeiten, um Daten zu stehlen. PASSTEAL heißt ihr neuster Versuch des Informationsdiebstahls und stellt ein Kennwort-Sammelwerkzeug dar, das effizient Login-Daten sammelt, sogar solche für Websites mit gesicherter Verbindung.

Es hat schon unterschiedlichste Diebstahl-Malware gegeben, etwa TSPY_PIXSTEAL.A, die Bilddateien sammelt und diese an entfernte FTP-Server weiterleitet. PASSTEAL weist ein ähnliches Verhalten auf, doch erfolgt der Diebstahl anders.

TSPY_PASSTEAL.A spioniert Konten verschiedener Online-Dienste und Anwendungen aus, um Login-Daten zu sammeln und diese in einer txt-Datei der Form {Computer name}.txt abzuspeichern. Anders als die meisten Schädlinge dieser Art, die Tastaturbewegungen loggen, nutzt PASSTEAL eine Anwendung zum Abgreifen von Kennwörtern, die die im Browser gespeicherten Kennwörter extrahiert. Das von Trend Micro analysierte Muster enthält komprimierte Daten, und zwar die App PasswordFox für Firefox,.



Nachdem die Daten extrahiert wurden, führt die Schadsoftware den Befehl “/sxml” aus, um die Login-Informationen in einer xml-Datei zu speichern. Diese wird auch zum Erstellen einer txt-Datei genutzt. Die Malware nimmt danach Verbindung zu einem entfernten FTP-Server auf, wo die gesammelten Informationen gespeichert werden.

Das Sammelwerkzeug ermöglicht es PASSTEAL alle Login-Daten aus dem Browser abzugreifen, sogar von Websites, die gesicherte Verbindungen (SSL oder HTTPS) verwenden. Zu den Websites die diese Verbindung verwenden, gehören Facebook, Twitter, Pinterest, Tumblr, Google, Yahoo, Microsoft, Amazon, EBay, Dropbox sowie Online- Banking-Sites. PASSTEAL konzentriert sich nicht nur auf Browser-Anwendungen. Einige Varianten sind auf Login-Informationen aus Anwendungen wie Steam oder JDownloader zugeschnitten.

Trend Micro hat mittlerweile mehr als 400 infizierte Systeme gefunden. Aufgrund der Ähnlichkeit der Extraktionsroutine (FTP-Upload) gehen die Sicherheitsforscher davon aus, dass PASSTEAL und PIXSTEAL von denselben Kriminellen stammen. Die Analyse zeigte auch, dass der Schädling den Server {BLOCKED}9329.online.de abfragt, der in Deutschland steht.

Die gestohlenen Daten können die Cyberkriminellen für ihre illegalen Geschäfte wie Identitätsbetrug nutzen oder die gestohlenen E-Mail-Adressen an Spammer verkaufen.

Sichern Sie ihre Kennwörter

Löschen des Cache und regelmäßige Änderung der Kennwörter bieten Schutz gegen diese Angriffe. Statt die Passwörter im Browser zu speichern, sollten Anwender andere Optionen wahrnehmen, etwa Passwort-Management-Tools wie Trend Micros DirectPass. Weitere Einzelheiten zu den Schutzmöglichkeiten für Kennwörter liefert auch der E-Guide How to Secure Your Multiple Online Accounts.

Online-Dienste wie Google, Dropbox und Facebook bieten Zwei-Faktor-Authentifizierung und dadurch eine zusätzlich Sicherheitsschicht. Diese Methode generiert einen Code, den der Nutzer zusätzlich zu Benutzername und Kennwort braucht, um auf sein Konto zuzugreifen. Dieser Code wird an das Handy des Nutzers geschickt oder als SMS oder Sprachnachricht.

Auch entdeckt und entfernt Trend Micro Smart Protection Network TSPY_PASSTEAL.A und blockiert den Zugang zum erwähnten FTP-Server.

2 Gedanken zu „HTTPS und SSL – Keine Hindernisse für PASSTEAL

  1. Pingback: BSI warnt vor Passwort-Trojaner für Browser - ComputerBase

  2. Gerd

    Wir haben verschieden Passwort-Management Tools getestet klarer „Testsieger“ war das Tool DirectPass von Trend Micro. Die detaillierten Ergebnisse unseres Tests werden wir demnächst veröffentlichen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*