Neue Banking-Schadsoftware liest Datenverkehr mit

Originalartikel von Joie Salvio, Threat Response Engineer

Im Jahr 2013 sichteten die Sicherheitsforscher von Trend Micro nahezu ein Million neuer Banking-Schädlingsvarianten – doppelt soviele wie im Jahr zuvor. Und es werden immer mehr.
Ein paar Wochen nachdem eine Banking-Schadsoftware entdeckt wurde, die eine Windows-Sicherheitsfunktionalität ausnutzt, gibt es wieder eine neue Malware. Die auffälligste Fähigkeit von EMOTET besteht darin, dass sie Netzwerkaktivitäten „ausschnüffelt“, um Informationen zu klauen.

Die Spam Connection

EMOTET-Varianten verbreiten sich über Spam-Nachrichten, die häufig vorgeben, Banküberweisungen oder Rechnungen zu sein. Die Empfänger der E-Mails sollen auf die mitgelieferten Links klicken, in dem Glauben, es handle sich um Finanztransaktiionen. Die Links führen schließlich zum Download von EMOTET-Varianten auf das System.

Diebstahl über Netzwerk-Sniffing

Sobald die Malware im System ist, lädt sie ihre Komponentendateien herunter, einschließlich einer Konfigurationsdatei, die Informationen zu den anvisierten Banken enthält. Die Analyse der Schadsoftware zeigt, dass bestimmte Banken aus Deutschland in der Liste der überwachten Websites standen. Die Konfigurationsdatei kann unterschiedlich sein, wie auch die Informationen über die überwachten Banken.

Des Weiteren wird eine .DLL-Datei heruntergeladen, die in alle Prozesse eingefügt wird und für das Aufzeichnen des ausgehenden Netzwerkverkehrs zuständig ist. Wird die Datei in einen Browser eingefügt, so vergleicht sie die Site, auf die sie zugreift, mit den Zeichenketten aus der vorher heruntergeladenen Konfigurationsdatei. Gibt es eine Übereinstimmung, so fügt die Schadsoftware die Informationen zusammen, indem sie auf die URL zugreigt und Daten verschickt. Die Malware speichert den gesamten Inhalt der Website, sodass alle Daten geklaut und gespeichert werden können.

EMOTET kann auch Daten ausschnüffeln, die über gesicherte Verbindungen gesendet werden, denn der Schädling hängt sich in die folgenden Netzwerk-APIs ein, um den Verkehr zu überwachen:

  • PR_OpenTcpSocket
  • PR_Write
  • PR_Close
  • PR_GetNameForIndentity
  • Closesocket
  • Connect
  • Send
  • WsaSend

Die Versuche der Sicherheitsforscher sich anzumelden, wurden alle von der Schadsoftware mitgeschnitten, obwohl die Site HTTPS nutzte.



Bild 1 und 2. Login-Versuch wird von der Schadsoftware abgefangen

Diese Methode des Informationsdiebstahls hebt sich von denen anderer Banking-Malware ab, denn letztere bauen meist auf Techniken des Einschleusens in Formularfelder oder auf Phishing-Seiten. Das Mitlesen des Netzwerkverkehrs können Nutzer nur schwer erkennen, denn es gibt keine verdächtigen Aktivitäten oder sichtbare Veränderungen (wie etwa zusätzliche Formularfelder). Die Tatsache, dass den Schädling auch anscheinend sichere Verbindungen wie HTTPS nicht abhalten, erhöht das Risiko des unbemerkten Diebstahls von Bankinformationen der Kunden.

Ausnutzen von Registry-Einträgen

Registry-Einträge spielen eine bedeutende Rolle in den EMOTET-Routinen. Die heruntergeladenen Komponentendateien werden in separate Einträge abgelegt. Auch die geklauten Informationen werden nach deren Verschlüsselung in einem Registry-Eintrag gespeichert.

Dies lässt sich als Verschleierungstaktik deuten. Der übliche Benutzer prüft nur selten die Registry-Einträge auf mögliche verdächtige Aktivitäten, eher checkt er neue oder ungewöhnliche Dateien. Auch dient die Methode als Gegenmaßnahme gegen Datei-basierte AV-Entdeckung.

Trend Micro blockt alle damit zusammenhängenden Bedrohungen.

Zusätzliche Analysen von Rhena Inocencio und Marilyn Melliang.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*