Luuuk nutzt Man-in-the-Browser-Attacken für Bankdiebstahl
Forscher von Kaspersky Lab haben eine Finanzbetrugskampagne entdeckt, die sie Luuuk tauften. Diese nutzte Man-in-the-Browser-Angriffe, um mehr als eine halbe Million Euro in nur einer Woche zu erbeuten.
Die Forscher vermuten, dass eine ZeuS-Variante mit im Spiel ist. Interessanter als die Malware selbst sind allerdings die Geschwindigkeit der Diebe sowie die Einblicke, die die Attacke in die kriminelle Welt gewährt.
Kaspersky entdeckte Luuuk, als es im Januar 2014 einen Command-and-Control-Server fand. Zu diesem Zeitpunkt war der Server nur für eine Woche in Betrieb, enthielt jedoch Hinweise auf einen Bank-Trojaner und Logs von Überweisungen. Diese zeigten auch, welche Summen von welchen Konten stammten. Insgesamt handelte es sich dabei um 500.000 €.
Die Forscher gehen davon aus, dass die Kriminellen Man-in-the-Browser-Attacken nutzten, um an die Zugriffsdaten der Bankkunden zu gelangen.
Vincente Diaz von Kaspersky Lab:
„Auf dem von uns entdeckten C&C-Server fand sich kein Hinweis darauf, welche spezifische Malware in dieser Kampagne genutzt wurde. Nichtsdestotrotz haben viele ZeuS-Varianten (Citadel, SpyEye, IceIX,…) genau die passenden Fähigkeiten. Wir glauben, dass die hier genutzte Malware auch eine ZeuS-Variante ist.“
Die betrügerischen Transaktionen starteten wohl automatisch, sobald sich das Opfer online anmeldete. Das gesamte Geld stammt von derselben Bank, deren Name aber nicht genannt wurde. Die Angreifer entwendeten insgesamt Geld von 170 Konten, jeweils zwischen 1.700 € und 39.000 €. Zunächst überwiesen sie es auf Konten von Geldkurieren, dann hoben diese es von Automaten ab.
Kaspersky bemerkt dazu:
„Zwar wurden hier die ‚üblichen‘ Techniken verwendet. Interessant ist aber die Klassifizierung der Geldkuriere, die zum Transport des Geldes verwendet wurden.“
Einigen der involvierten Personen war es lediglich gestattet, 1.750 bis 2.000 € abzuheben, während andere mit Summen zwischen 40.000 € und 50.000 € betraut wurden.
„Die Unterschiede im ‚anvertrauten Geldbetrag‘ könnten einen Hinweis auf den Grad des Vertrauens zu dem jeweiligen Kurier geben“,
so Diaz.
„Wir wissen, dass sich die an solchen Verbrechen Beteiligten oft gegenseitig übers Ohr hauen. Die Leiter der Luuuk-Kampagne müssen versucht haben, sich dagegen abzusichern. Je mehr ein Kurier transportieren durfte, desto mehr Vertrauen genießt er.“
Artikel von darkreading.com, 26.06.2014: Luuuk Stole Half-Million Euros in One Week
Artikel von theregister.co.uk, 26.06.2014: Half a meellion euros stolen in week-long bank smash ’n‘ grab