ZBOT hat eine neue Clickbot-Routine im Angebot

Originalartikel von Mark Joseph Manahan, Threat Response Engineer

ZeuS/ZBOT gehören wohl zu den bekanntesten Schädlingsfamilien und  sind eigentlich auf den Diebstahl von Anmeldeinformationen für das Online-Banking zugeschnitten. Doch scheint die Malware mehr als dies zu können, und einige Varianten führen weitere Routinen aus, etwa das Herunterladen oder Ablegen anderer Bedrohungen wie Ransomware.

Die Trend Micro-Sicherheitsforscher entdeckten eine Variante (TROJ_ZCLICK.A), die anscheinend den Desktop daran hindern kann, Websites anzuzeigen – ein ungewöhnliches Verhalten für einen ZBOT-Schädling. Sobald er ein System infiltriert hat, passiert dies jedes Mal dann, wenn der Nutzer irgendeine Aktivität durchführt, etwa das Öffnen eines Fensters oder einer Datei. In manchen Fällen, kann der Nutzer die offenen Fenster noch sehen, doch die Sites laufen im Hintergrund. User können diese Unannehmlichkeit mit dem Befehl „Show Desktop“ umgehen, doch die Malware stellt weiterhin Fenster dar.

Bild 1. Sites werden im Hintergrund des Programms Space Cadet im Vollbildmodus angezeigt

Die angezeigten Sites sind alle legitim, von Spiele-, Buchungs- oder Musik-Sites bis zu Suchmaschinen. Nutzer können sogar in diesen Sites navigieren. Eine seltsame Funktion der Schadsoftwrare besteht darin, dass sie verschiedene Mausbewegungen durchführt und auch durchblättert, wenn die Maus untätig ist.

Auch fällt auf, dass diese Schädlingsvariante keine der „herkömmlichen“ Routinen wie Informationsdiebstahl ausführt. Die Analyse eines Samples ergab aber, dass es ZBOT-Code enthält, und das bedeutet, die Variante lädt nur die Clickbot-Routine. Somit kann man davon ausgehen, dass das Hauptziel der Variante darin besteht, über das Pay-per-Klick-Modell Profit zu machen.

Diese Malware ist ein weiterer Beweis dafür, dass Cyberkriminelle fortwährend bekannte Malware abändern, um neue Payloads abzulegen und damit ihren Opfern Geld aus der Tasche zu ziehen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*