Der Trojaner Zeus/Zbot ist ja recht erfolgreich und kaum tot zu kriegen. Befällt Rechner und nistet sich als "man-in-the-browser" ein, um Datentransfers mitzuschneiden und Bankdaten auszuspähen oder Online-Transaktionen umzuleiten. Nun sind neue Informationen über diesen Trojaner bekannt geworden.
Anzeige
Die Sicherheitsforscher von MalwareByte habe das Ganze analysiert und hier im Blog dokumentiert. Eine neue Variante des Trojaners, als ZeusVM bezeichnet, verwendet Grafikdateien, um sich Konfigurationsdaten zu verschaffen. Der Trojaner lädt sich JPG-Grafikdateien von Servern, auf denen auch andere Malware-Komponenten gehostet sind. Die Leute von MalwareByte habe das folgende Bild von einem Sonnenuntergang als Beispiel veröffentlicht.
(Source: Malwarebyte)
Niemand kommt auf die Idee, das Foto als verdächtig einzustufen – und ein Administrator, der es zufällig zu sehen bekommt, freut sich möglicherweise sogar. Bei der Analyse der Bilddatei konnten die Sicherheitsforscher feststellen, dass an die Bilddatei Konfigurationsdaten für den Trojaner angehängt waren. Diese waren natürlich verschlüsselt, um eine zufällige Entdeckungen zu verhindern. Allerdings lässt sich die Base64-Verschlüsselung leicht entschlüsseln, so dass man die Klartextdaten erhält. Hier ein Screenshot der Konfigurationsdatei, die die angegriffenen Institute auflistet:
(Source: Malwarebyte)
Da ist alles an deutschen Banken dabei, was Rang und Namen hat: Deutsche Bank, Sparkasse. de, Sparda.de etc., aber auch Banken in Österreich wie Raiffeisenbank.at, bankaustria.at, sparkasse.at sind dabei. Bei einer Infektion fungiert der Trojaner als Man-in-the-middle und leitet Online-Transaktionen, die der Benutzer ausführt, auf andere Konten um. Der Bank fällt dies nicht auf, das die Transaktion ja vordergründig durch eine TAN des Benutzers abgesegnet ist.
Passt natürlich schön zu meiner Story hier: Achtung: Aktueller Phishing-Angriff auf Sparkassen-Kunden. Man beachte meinen Kommentarnachtrag mit der Reaktion von sparkasse.de und BSI. Die Phising-Server sind übrigens drei Tage nach dem Versand der Mail weiterhin aktiv – da der Betreiber des initialen Servers in Hanoi, Vietnam, entweder zu den Phishern gehört oder oder mehr oder weniger verwaist ist. Jedenfalls sind alle Kontaktmöglichen via E-Mail nicht existent und der Registrar reagierte auf meinen Kontaktversuch auch nicht. Ich habe es zwischenzeitlich aufgesteckt, da so was nicht zu meinen Aufgaben gehört – werde aber möglicherweise mal eine Redaktion wie Monitor, Report oder Panorama darauf ansetzen.
2015
Ein kluger Kopf und ein anerkannter Autor, der weiß, wovon er spricht und schreibt.
Ihm sollte doch Anerkennung und Respekt für seine Arbeit gebühren.
Die ignoranten Damen und Herren, die sich ach so sicher in ihren Glaspalästen fühlen, sollen doch endlich mal aufwachen und dem Ernst der Lage ins Gesicht blicken!
Mir jedenfalls ist nicht wohl beim Lesen dieser Artikel und der Reaktion der Behörden und der Sparkasse.
Fred Stützer