Schlagwort-Archive: SpyEye

SpyEye im Visier

Originalartikel von Loucif Kharouni, Senior Threat Researcher

Vor ein paar Tagen verkündete das US-amerikansche Justizministerium, dass sich der Autor der berüchtigten SpyEye Banking-Schadsoftware Aleksandr Andreevich Panin (auch als Gribodemon oder Harderman bekannt) der Erstellung und Verbreitung von SpyEye schuldig bekannt hatte. Trend Micro spielte bei den Ermittlungen in diesem Fall eine Schlüsselrolle und arbeitete über eine längere Zeit mit dem FBI zusammen.
Weiterlesen

Neue Angriffsmethoden auf Bankkonten: Automatic Transfer Systems

Originalartikel von Loucif Kharouni, Senior Threat Researcher

Banken und andere Finanzinstitute haben ihre Sicherheitsvorkehrungen verschärft, um die Risiken durch Phishing-Angriffe zu reduzieren. Doch blieben auch die Cyberkriminellen nicht untätig und haben neue Tools erstellt, um ihre Angriffe auf das Online-Banking zu automatisieren – so genannte Automatic Transfer Systems (ATS).

Schädlingsfamilien wie ZeuS und SpyEye nutzten in der Vergangenheit Webinject-Dateien, um die Websites der Finanzorganisationen zu modifizieren. Eine Webinject-Datei ist im Grunde genommen eine Textdatei mit JavaScript und HTML-Code, die bestimmte Code-Teile in die ausgesuchten Websites einfügen.

Mit ATS jedoch, haben die Angreifer ihre Methoden noch verbessert. Anstatt „nur“ passiv Informationen abzugreifen, können die Kriminellen nun finanzielle Transaktionen ausführen, um die Bankkonten von Kunden ohne deren Wissen zu plündern. Dabei bedarf es keiner Nutzeraktion mehr, um die Benutzernamen und Kennwörter einzutippen. Über ein ATS, das die Authentifizierungsverfahren umgeht, übertragen die Kriminellen automatisch Beträge aus den Konten der Opfer in ihre eigenen, und das ohne Spuren zu hinterlassen.

Die Sicherheitsexperten von Trend Micro haben ein Forschungspapier zu ATS erstellt, das die Schlüsselaspekte eines solchen Angriffs aufzeigt sowie Informationen zu dem kriminellen Untergrund, der in die Produktion und den Verkauf von ATS involviert ist, liefert. Das Papier „Automating Online Banking Fraud” kann herunter geladen werden.

ZeuS/SpyEye: Anfang vom Ende?

Originalartikel von Rik Ferguson, Director Security Research & Communication EMEA

Quelle: bixentro’s Flickr photostream

Microsoft hat gemeinsam mit Information Sharing and Analysis Center (FS-ISAC, eine Handelsgruppe, die 4.400 Finanzinstitute vertritt) und der Electronic Payments Association eine Klageschrift gegen die Kriminellen hinter ZeuS, SpyEye und den Ice IX Botnetzen eingereicht.

Die Codebasis dieser drei Botnetze hat eine lange, unrühmliche Geschichte: ZeuS gibt es seit 2006 und ist für Hunderte individueller Botnetze verantwortlich, die Millionen aus privaten und Geschäftskonten gestohlen haben. SpyEye wurde ursprünglich als Konkurrenz zu ZeuS aufgesetzt und ging sogar so weit, den Rivalen von Computern zu entfernen, wenn er dem Schädling in die Quere kam. Im letzten Jahr dann wurden die beiden Quellcodes zusammengeführt.

Die Klageschrift gibt offen zu, die Identitäten der „John Does“ nicht zu kennen, und beschreibt ausführlich die riesige globale Infrastruktur – von Nordamerika, über Großbritannien, Deutschland, Iran und Hongkong bis Laos und Australien — hinter Crimeware dieser Art. Die Kläger nennen unter anderen die drei ursprünglichen Zeus-, SpyEye- und Ice IX-Codierer, zwei weitere kriminelle Entwickler sowie zwei PDF- und Flash-Exploitverkäufer, drei Web-Inject-Vertriebler.

Laut Klageschrift sind 3357 Domänennamen über 35 Registrare (wovon 1703 bei Verisign) als Teile des ZeuS-Botnetzes identifiziert worden. Am 23. März wurden bei zwei Hostern Razzien durchgeführt und Server beschlagnahmt und die Botnetze und kriminellen Aktivitäten unterbrochen. Doch stellt Microsoft fest, dass trotzdem lediglich zwei IP-Adressen abgeschaltet und 800 Domänen unter Beobachtung gestellt wurden – also sei ein nur geringer Effekt zu erwarten.

Natürlich hat Cyberkriminalität eine viel größere Dimension als lediglich diese genannten 39 Leute. Dennoch dient die Klageschrift der Illustration des Reifegrads des kriminellen Geschäftsmodells. Bad Guys wie Slavik und gribodemon haben sich der Justiz jahrelang erfolgreich entzogen. Es bleibt zu hoffen, dass die weiter gehende internationale Zusammenarbeit der Sicherheitsgemeinde und Strafverfolgungsbehörden zu signifikanten Ergebnissen führen.

Das ZeuS Tracker Projekt, das Command & Control Server auf der ganzen Welt aufführt, umfasst derzeit 806 ZeuS und Ice IX Server, wovon 343 derzeit online und aktiv sind. SpyEye Tracker listet 487 Server weltweit, von denen heute 16 aktiv sind.

 

 

Junger Mann erbeutet mehrere Millionen über SpyEye-Angriffe

 

Originalartikel von Loucif Kharouni, Senior Threat Researcher

Ein junger Mann, im kriminellen Untergrund als “Soldier” bekannt, hat über Cyberangriffe auf verschiedene große US-Unternehmen in den letzten sechs Monaten 3,2 Millionen Dollar gestohlen. Der in Russland tätige Mann nutzt laut Trend Micro-Recherche für seine kriminellen Machenschaften verschiedene Toolkits, einschließlich SpyEye (TSPY_SPYEYE.EXEI) und ZeuS-Malware, wie auch Exploit-Tools, um mithilfe von Blackhat-Suchmaschinenoptimierung seine SpyEye/ZeuS-Dateien zu verbreiten. Die Massenangriffe passierten vor allem in den USA aber auch einige in weiteren 90 Ländern – Tendenz könnte steigend sein.

Um die Zahl der erfolgreich infizierten Konten zu erhöhen, kaufte er sogar Netzwerkverkehr von anderen Cyberkriminellen. Nicht nur Geld stiehlt „Soldier“ von diesen Konten, sondern auch die sicherheitsrelevanten Zugangsdaten der Nutzer.

Trend Micro hat die IP-Adressen der Opfer vom SpyEye Command & Control Server ausgewertet, um diese den entsprechenden Netzwerken zuzuordnen. Das Ergebnis: Eine Vielzahl großer Organisationen und US-amerikanischer internationaler Unternehmen in den unterschiedlichsten Branchen gehören zu den Opfern. Doch gehen die Sicherheitsforscher davon aus, dass ursprünglich nicht diese Unternehmen das Ziel der Angriffe waren, sondern dass dies lediglich in Folge der kompromittierten Endanwender-Konten zustande kam. Bots werden routinemäßig an weitere Cyberkriminelle verkauft, die andere Datendiebstähle durchführen, und dadurch werden diese Netzwerke anfällig für weitere Infektionen und für möglichen Betrug.

Zu den IP-Adressen, die Trend Micro fand, gehören auch solche von US-Behörden (lokale oder bundesstaatliche), des Militärs, von Bildungs- und Forschungseinrichtungen, Banken, Flughäfen und Technologie- sowie Automobilunternehmen.

„Soldiers“ Botnetz konnte zwischen April und Juni dieses Jahres etwa 25.394 Systeme infizieren. SpyEye ist speziell auf Windows-Systeme ausgerichtet, wobei  Windows XP-Computer 57 Prozent der infizierten Systeme ausmachen. Trotz der Verbesserungen in Windows 7 in puncto Sicherheit betrug die Zahl dieser infizierten Systeme fast 4.500.

Bereits im Frühjahr waren laut Sicherheitsforscher viele der Funktionen der Zeus-Malware in Banking-Schädling SpyEye überführt wurden. Seither haben die Autoren vor allem die Verschleierungsmöglichkeiten der Malware verbessert. Obwohl als Bank-Trojaner bekannt, ist SpyEye ist in der Lage, auch alle Arten von Zugangsdaten zu stehlen. Trend Micro hat unter anderem auch viele Zugangsdaten für Facebook gefunden.

Trend Micro ist gerade dabei, die Opfer über die Erkenntnisse zu informieren. Trend Micro-Kunden sind über das Smart Protection Network vor den Angriffen geschützt, denn der Web Reputation Service verhindert den Zugriff auf betroffene Websites, auch über soziale Netzwerke wie Facebook.

Rückblick 2010: Neue und effizientere Wege für den Informationsdiebstahl

Originalartikel von Kevin Stevens und Loucif Kharouni (Senior Threat Researchers bei Trend Micro)

Drei Hauptentwicklungen hat es 2010 bei den “Informationsdieben” gegeben. Die ZeuS/ZBOT-Familie der Software für den Informationsdiebstahl veröffentlichte im ersten Halbjahr eine neue Version. ZeuS 2.0 umfasste wichtige Änderungen an der bereits sehr erfolgreichen Malware-Familie, wenngleich diese für den tatsächlichen Informationsdiebstahl nur geringfügig waren. In der Vergangenheit war die Unterstützung für neuere Versionen von Windows wie etwa Windows Vista oder Windows 7 und für Browser wie Mozilla Firefox nicht in die Grundfunktionalität der Toolkits integriert. Mit ZeuS 2.0 ist dies Standard.

Die großen Änderungen in ZeuS 2.0 sind darauf ausgerichtet, die Schadsoftware besser zu verbergen. Während die ZeuS 1.x-Versionen feste Dateinamen nutzten (die sich gelegentlich von Version zu Version änderten), verwendet ZeuS 2.0 Zufallsnamen. In ähnlicher Weise nutzten Mutexe pseudo-zufällig generierte GUID-Namen. Als Nebeneffekt erlaubt dies auch mehrfache ZeuS-Infektionen auf einer Maschine. Auch ist die Verschlüsselung in der neuen Version verstärkt worden.

Damit hat es die Bedrohungsintelligenz der Sicherheitsanbieter schwerer, auch wenn sie natürlich seither gelernt hat, mit der höheren Raffinesse von ZeuS umzugehen.

Der Erfolg von ZeuS bereitete wahrscheinlich den Boden für seine Wettbewerber. Der Preis für ein ZeuS Toolkit stieg bis auf 8.000 Dollar für das Basispaket, ausschließlich der Zusatzfunktionen. Weitere Module und Funktionen können den Preis bis auf 20.000 Dollar hochtreiben. Kein Wunder, dass weitere Informationsdiebstahl-Tools auftauchten, allen voran SpyEye.

Der Ursprung von SpyEye geht bis 2009 zurück. Die Trend Micro-Analysten wurden auf diese Schadsoftware erst aufmerksam, als sie eine SpyEye-Variante entdeckten. Das Bemerkenswerte daran war, dass sie bekannte ZeuS-Prozesse beendete, und damit sozusagen die Konkurrenz eliminierte. Dabei ist SpyEye billiger als ZeuS: Das Basispaket kostet lediglich 1.000 Dollar und mit Zusatzfunktionen kann der Preis bis auf 2.500 Dollar steigen. Einzelheiten zu SpyEye finden Sie auch in „Die SpyEye Schnittstelle CN 1“.

Schließlich ging SpyEye als „Sieger“ hervor. Am 1. Oktober nämlich führten die Bemühungen der internationalen Operation Trident Breach zur Zerschlagung einer ZeuS-Bande und die Festnahme von mehr als hundert Mitgliedern, darunter auch einiger ihrer Anführer. Wenige Wochen danach kündigte der ZeuS-Autor, als Slavik oder Monstr bekannt, seinen „Rücktritt“ an und übergab ZeuS an den SpyEye-Autor Gribodemon oder Harderman. Zwar wurde ein offizieller Zusammenschluss angekündigt, doch ist dieser noch nicht erfolgt. Auch gibt es Gerüchte darüber, dass Slavik weiter Malware für Elite-Kunden schreibt.

Im Oktober entdeckte Trend Micro Exemplare einer neuen ZeuS-Variante TSPY_ZBOT.BYZ, die ungewöhnliche Routinen besaß. Zusätzlich zu den eigenen üblichen Routinen für den Informationsdiebstahl konnte die Variante auch ausführbare Dateien auf den Systemen infizieren, ein Verhalten, das in bisherigen Versionen von ZeuS nicht vorhanden war. Diese Dateien wiederum nutzten einen dynamischen Algorithmus zur Domänengenerierung, um bösartige Dateien von verschiedenen Websites herunter zu laden.

Dies war eine gefährliche Entwicklung, denn die letzte Malware, die diesen Algorithmus für Download-Routinen nutzte war DOWNAD/Conficker. Eine Analyse zeigte eine sehr wohlkonstruierte Bedrohung, deren Ergebnis in dem Whitepaper “File-Patching ZBOT Variants: ZeuS 2.0 Levels Up” dokumentiert ist. Es werden immer neue ZeuS-Varianten veröffentlicht, die diese Technik nutzen – ein Hinweis darauf, dass die Taktik zum Standard wird.