Malware zielt auf Online-Banking ab
Nun gibt es einen weiteren Grund, bei Spam-E-Mails mit Rechnungen oder Überweisungen aufzupassen. Diese könnten ein neues, klug entwickeltes Malware-Programm mit sich bringen, welches Überweisungs-Daten abfasst.
Die meisten Trojaner im Bereich Bankbetrug stehlen die nötigen Daten, indem sie gefälschte Webformulare injizieren. Ein vor kurzem entdecktes Programm nutzt allerdings eine andere Herangehensweise. Es nutzt die Netzwerk-APIs des Browser, um ausgehenden Traffic abzufangen.
Sicherheitsforscher von Trend Micro haben diese neue Malware „Emotet“ getauft. Sie analysierten verschiedene Varianten der Malware, die Kunden deutscher Banken im Visier hatten. Die Malware wird über bösartige Links in Spam-E-Mails verbreitet, die als Meldungen über Banktransfers oder Rechnungen getarnt sind.
Bei dem ersten Start auf dem System lädt Emotet weitere Komponenten und eine Setup-Datei, die die URLs und andere Daten für die Operation enthält.
Die bisher untersuchte Setup-Datei zielt bisher hauptsächlich auf Webseiten deutscher Banken ab, aber es könnte auch weitere Varianten für andere Länder geben.
Die Kernkomponente von Emotet lädt eine DLL-Datei herunter und injiziert diese in alle laufenden Prozesse, einschließlich Webbrowser. Diese Datei kann den ausgehenden Traffic all dieser Prozesse überwachen und für die in der Setup-Datei definierten Informationen suchen.
„Falls diese Daten übereinstimmen, sammelt die Malware Informationen über die besuchte URL und die gesendeten Daten“,
so Trend Micro-Forscher.
„Die Malware speichert den gesamten Inhalt der Webseite, sodass jegliche Daten gestohlen und gespeichert werden können.“
Da es sich direkt an den Netzwerk-APIs einklinkt, kann die DLL-Komponente auch Daten verschlüsselter Browser-Sessions abfangen.
Diese Methode ist für Nutzer wesentlich schwerer zu bemerken, da sie im Gegensatz zu Phishing-E-Mails oder gefälschten Webseiten wesentlich unsichtbarer verläuft.
„Die Nutzer führen ganz normal ihr Online-Banking durch und merken nicht einmal, dass gerade Informationen gestohlen werden.“
Ein weiterer interessanter Aspekt über Emotet: Es verschlüsselt die gestohlenen Daten und speichert sie in der System-Registry. Dies ist vermutlich ein weiterer Versuch, eine Entdeckung zu umgehen. Die meisten von Emotet Betroffenen wurden Trend Micro zufolge in Europa entdeckt, hauptsächlich in Deutschland. Doch auch in Asien und Nordamerika gibt es bereits Fälle, sodass es vermutlich keine regional konzentrierte Aktion ist.
Artikel von scmagazine.com, 30.06.2014: EMOTET banking malware captures data sent over secured HTTPS connections
Artikel von computerworld.com, 30.06.2014: New malware program targets banking data
Trend Micro Post: New Banking Malware Uses Network Sniffing for Data Theft