Schlagwort-Archive: Diebstahl

Auf einen Blick: Neue ZeuS-Varianten

Originalartikel von Vincent Cabuag (Threat Response Engineer bei Trend Micro)

Das ZeuS/ZBOT-Botnet ist schon seit langem fester Bestandteil des Cybercrime-Geschäfts und entwickelt und verbessert sich ständig weiter. Angesichts der sehr großen Zahl an Toolkit-Versionen (Bausatzprogramme), die im Untergrund sofort verfügbar sind, wehren sich die Eigenschaften, die ZeuS besitzt, auch weiterhin erfolgreich sowohl gegen Antivirus- als auch andere Sicherheitslösungen und machen die Anstrengungen der Sicherheitsindustrie zunichte.

Dieses Mal macht die Schadsoftware ihrem berühmt-berüchtigten Ruf mit einer neuen Version, die mit den bereits bekannten Varianten TSPY_ZBOT.CRM und TSPY_ZBOT.CQJ in Verbindung stehen, zweifelhafte Ehre.

ZBOT-Varianten stehlen Kontozugangsdaten, wenn Anwender bestimmte soziale Netzwerke, Online-Shops und Banken-Websites besuchen. Die Varianten sind sehr schnell zu beliebten Werkzeugen der Cyberkriminellen geworden, und zwar dank der außergewöhnlichen Routinen zum Diebstahl von Informationen und der Rootkit-Eigenschaften, mit denen es ihnen möglich ist, unentdeckt zu bleiben und die Systeme von Anwendern ohne deren Wissen zu befallen.

Weit verbreitete ZBOT-Varianten nutzen feste Dateinamen (sowohl für ihre ausführbaren als auch Komponenten-Dateien). Zwar können die Dateinamen von einer ZBOT-Version zur anderen variieren, dennoch sind sie den Sicherheitsanalysten bekannt.

Dies trifft allerdings nicht für die neuen, oben genannten ZBOT-Varianten zu. Anstatt vordefinierte Namen zu nutzen, verwenden sowohl TSPY_ZBOT.CRM als auch TXPY_ZBOT.CQJ zufallsgenerierte Namen für die Dateien und Verzeichnisse, die sie erstellen. Darüber hinaus fügt ZBOT jetzt seinen Code in Windows-Prozesse ein (wie z.B. in den Dateiexplorer-Prozess), was frühere Varianten nicht getan haben. Diese beiden Versuche der Cyberkriminellen, das ZBOT-Profil zu verwischen, sind eine direkte Antwort auf den Bekanntheitsgrad der Schadsoftwarefamilie, was umgekehrt bedeutet, dass die ZBOT-Schadsoftware jetzt ein bisschen leichter zu entdecken ist.

Die verborgenen Änderungen der ZBOT-Varianten sind jedoch ungleich bedeutsamer. Denn die neuen ZBOT-Varianten fügen sich in die folgenden Prozesse ein:

  • ctfmon.exe
  • explorer.exe
  • rdpclip.exe
  • taseng.exe
  • taskhost.exe
  • wscntfy.exe

Aus dieser Liste wird ersichtlich, dass die neue ZBOT-Version jetzt sowohl Windows Vista als auch Windows 7 „unterstützt“. Taskeng.exe und Taskhost.exe sind Prozesse, die in Windows Vista und Windows 7 anzutreffen sind, hingegen in älteren Versionen wie Windows XP fehlen. (In älteren ZBOT-Versionen konnte der Support für Windows Vista und Windows 7 als separates Add-on erworben werden.)

Die Änderungen in den verwendeten Dateinamen und der Einstieg in den offiziellen Support für Windows Vista und Windows 7 verdeutlichen die Tatsache, dass die ZBOT-Entwickler mit den Veränderungen Schritt halten und ihre Taktiken entsprechend anpassen. Kurzfristig werden ältere ZBOT-Varianten weiterhin die Masse der Infektionsbedrohungen ausmachen. Jedoch wird es nicht lange dauern, bis die neuen Varianten eine größere Verbreitung finden.

 Das Trend Micro Smart Protection Network™ bietet Anwendern Schutz vor Angriffen dieser Art im Zusammenhang mit ZeuS, indem es die bösartigen Dateien entdeckt und daran hindert, auf den Systemen ausgeführt zu werden. Die Anzahl der Angriffe, die das Smart Protection Network in den vergangenen Monaten verhindert hat, spiegelt auch der Puls des ZeuS Botnetkonglomerats wider;

Trojaner betreibt Online-Banking nach Gangsterart

Original Artikel von Rik Ferguson (Solutions Architect bei Trend Micro)

Eine Bekannte erzählte mir kürzlich, sie habe mit Entsetzen festgestellt, dass eine hohe Summe von ihrem Bankkonto auf das Konto eines Unbekannten überwiesen wurde. Sie hatte am Abend zuvor über Home Banking eine Reihe von Überweisungen getätigt und alles schien ganz normal zu laufen. Als sie dann hörte, dass eine der Überweisungen nicht angekommen sei, prüfte sie ihr Konto von einem PC in ihrer Firma aus und entdeckte mit Schrecken diese ominöse Überweisung von 5000 Euro. Natürlich meldete sie den Vorfall sowohl ihrer Bank als auch der Polizei. Die Bank sperrte daraufhin den Online-Zugang zum Konto der Bekannten und stellte Nachforschungen nach dem Geld an. Wir wiederum versuchten herauszufinden, welche Art von Malware sie auf ihrem PC hatte.

Bankauszug zeigt die betrügerische Transaktion

Wir entdeckten, dass es sich um den bereits bekannten Bank-Trojaner einer „nächsten Generation“ namens Bebloh oder URLZone handelte. Dieser Trojaner war verantwortlich für den Diebstahl von einer Geldsumme, die gerade noch unterhalb des erlaubten Online-Überweisungslimits für das Konto lag, sodass der Transfer erfolgreich durchgeführt werden konnte.

Später berichtete eine Frau in Deutschland den Vorfall von anderen Seite aus. Sie hatte in einem russischen Chat ein paar Leute kennengelernt, die ihr 500 Euro dafür anboten, damit sie Geld (das mithilfe des Trojaners entwendet worden war) weiter leitete. Ein Teil des Geldes sollte auf ein Konto in der Türkei gehen und der Rest auf ein russisches Konto. Der Halter des „Strohmann-Kontos“ war der Sohn der Frau, und sie hatte den russischen Kriminellen dessen Kontoinformationen gegeben. Am Morgen nach der Überweisung riefen sie die Frau alle zehn Minuten an und forderten sie auf, das Geld weiter zu schicken. Deshalb holte sie ihren Sohn aus der Schule ab und ging mit ihm zur Bank. Mittlerweile hatte das Opfer den Diebstahl gemeldet, sodass die Bank sich weigerte, das Geld weiter zu leiten. Sogar hier in der Bank gingen die russischen Anrufe weiter. Erst nachdem sie den Anrufern mitgeteilt hatte, dass der Betrug gemeldet worden war, hörten die Anrufe auf. Die über ihre Naivität entsetzte Frau ging danach selbst zur Polizei. Dem Opfer ist der Zugang zu Bargeld verwehrt und sie hat auch keine Möglichkeit, ihre Schulden zu begleichen, solange die Nachforschungen andauern.

Bebloh ist ein Bank-Trojaner, der in Deutschland aufgetaucht ist, dem Land mit dem Ruf der besten Sicherheit für Online-Banking. Die Malware verbreitet sich über so genannte Drive-by-Download-Techniken. Dabei werden Websites, einschließlich legitimer, infiziert und mit einer Falle versehen. Unvorsichtige Besucher, deren Browser oder sonstige Software nicht mit den aktuellsten Patches versehen sind, tappen beim Besuch einer solchen Site in diese Falle.

Sobald sich der Trojaner installiert hat, verbindet er sich mit einem Command-&-Control-Server und erhält Anweisungen dazu, wie viel Geld er entwenden soll und wohin er dieses schicken muss. Der Trojaner ist smart genug, um herauszufinden, wie viel Geld er von einem Konto abziehen kann, ohne dass die Überweisung zurückgewiesen wird. Er ist auch in der Lage, die Durchführung dieser Transfers zu verbergen. Das entwendete Geld wird auf Konten von Strohmännern überwiesen, die für ein geringes Entgeld bereit sind, die Zahlungen weiterzuleiten. Ein ausführlicher Bericht zu dieser Art von Malware gibt es von den RSA FraudAction Research Labs  und im deutschen Trend Micro Blog „Getürkte Bilanzen auf BEBLOH-Art“ .

Um die TANs (Transaction Authentication Number) für die Validierung einer Transaktion zu umgehen, arbeitet Bebloh innerhalb des Web Browsers und kapert authentifizierte Session. Er geht so weit, Kontoauszüge zu fälschen, die alle Spuren einer bösartigen Aktivität verwischen. Die Einnahmen mithilfe dieses Trojaners werden auf 11.000 Pfund pro Tag geschätzt.