Trojaner betreibt Online-Banking nach Gangsterart

Original Artikel von Rik Ferguson (Solutions Architect bei Trend Micro)

Eine Bekannte erzählte mir kürzlich, sie habe mit Entsetzen festgestellt, dass eine hohe Summe von ihrem Bankkonto auf das Konto eines Unbekannten überwiesen wurde. Sie hatte am Abend zuvor über Home Banking eine Reihe von Überweisungen getätigt und alles schien ganz normal zu laufen. Als sie dann hörte, dass eine der Überweisungen nicht angekommen sei, prüfte sie ihr Konto von einem PC in ihrer Firma aus und entdeckte mit Schrecken diese ominöse Überweisung von 5000 Euro. Natürlich meldete sie den Vorfall sowohl ihrer Bank als auch der Polizei. Die Bank sperrte daraufhin den Online-Zugang zum Konto der Bekannten und stellte Nachforschungen nach dem Geld an. Wir wiederum versuchten herauszufinden, welche Art von Malware sie auf ihrem PC hatte.

Bankauszug zeigt die betrügerische Transaktion

Wir entdeckten, dass es sich um den bereits bekannten Bank-Trojaner einer „nächsten Generation“ namens Bebloh oder URLZone handelte. Dieser Trojaner war verantwortlich für den Diebstahl von einer Geldsumme, die gerade noch unterhalb des erlaubten Online-Überweisungslimits für das Konto lag, sodass der Transfer erfolgreich durchgeführt werden konnte.

Später berichtete eine Frau in Deutschland den Vorfall von anderen Seite aus. Sie hatte in einem russischen Chat ein paar Leute kennengelernt, die ihr 500 Euro dafür anboten, damit sie Geld (das mithilfe des Trojaners entwendet worden war) weiter leitete. Ein Teil des Geldes sollte auf ein Konto in der Türkei gehen und der Rest auf ein russisches Konto. Der Halter des „Strohmann-Kontos“ war der Sohn der Frau, und sie hatte den russischen Kriminellen dessen Kontoinformationen gegeben. Am Morgen nach der Überweisung riefen sie die Frau alle zehn Minuten an und forderten sie auf, das Geld weiter zu schicken. Deshalb holte sie ihren Sohn aus der Schule ab und ging mit ihm zur Bank. Mittlerweile hatte das Opfer den Diebstahl gemeldet, sodass die Bank sich weigerte, das Geld weiter zu leiten. Sogar hier in der Bank gingen die russischen Anrufe weiter. Erst nachdem sie den Anrufern mitgeteilt hatte, dass der Betrug gemeldet worden war, hörten die Anrufe auf. Die über ihre Naivität entsetzte Frau ging danach selbst zur Polizei. Dem Opfer ist der Zugang zu Bargeld verwehrt und sie hat auch keine Möglichkeit, ihre Schulden zu begleichen, solange die Nachforschungen andauern.

Bebloh ist ein Bank-Trojaner, der in Deutschland aufgetaucht ist, dem Land mit dem Ruf der besten Sicherheit für Online-Banking. Die Malware verbreitet sich über so genannte Drive-by-Download-Techniken. Dabei werden Websites, einschließlich legitimer, infiziert und mit einer Falle versehen. Unvorsichtige Besucher, deren Browser oder sonstige Software nicht mit den aktuellsten Patches versehen sind, tappen beim Besuch einer solchen Site in diese Falle.

Sobald sich der Trojaner installiert hat, verbindet er sich mit einem Command-&-Control-Server und erhält Anweisungen dazu, wie viel Geld er entwenden soll und wohin er dieses schicken muss. Der Trojaner ist smart genug, um herauszufinden, wie viel Geld er von einem Konto abziehen kann, ohne dass die Überweisung zurückgewiesen wird. Er ist auch in der Lage, die Durchführung dieser Transfers zu verbergen. Das entwendete Geld wird auf Konten von Strohmännern überwiesen, die für ein geringes Entgeld bereit sind, die Zahlungen weiterzuleiten. Ein ausführlicher Bericht zu dieser Art von Malware gibt es von den RSA FraudAction Research Labs  und im deutschen Trend Micro Blog „Getürkte Bilanzen auf BEBLOH-Art“ .

Um die TANs (Transaction Authentication Number) für die Validierung einer Transaktion zu umgehen, arbeitet Bebloh innerhalb des Web Browsers und kapert authentifizierte Session. Er geht so weit, Kontoauszüge zu fälschen, die alle Spuren einer bösartigen Aktivität verwischen. Die Einnahmen mithilfe dieses Trojaners werden auf 11.000 Pfund pro Tag geschätzt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*