[English]Check Point meldet, dass der hochgezüchtete Banking-Trojaner Mekotio in Latein-Amerika zurückkehrt. Im Juli diesen Jahres hatte die spanische Polizei 16 verdächtige Personen wegen Geldwäsche im Zusammenhang mit der Malware gefasst. Nun attackiert die Malware spanischsprachige Länder. Urheber der neuen Version scheint, laut Check Point, eine brasilianische Verbrecherbande zu sein. Wundert mich, da in Brasilien portugiesisch und nicht spanisch gesprochen wird. Jedenfalls blockierte Check Point bereits über 100 Attacken.
Anzeige
Check Point Research (CPR), die Forschungsabteilung von Check Point® Software Technologies Ltd. weist in einer Meldung darauf hin, dass die Attacke mit einer Spoofing-E-Mail unter falschem Markennamen beginnt. Die Mail hat den Betreff läuft: "digital tax receipt pending submission" – also: Digitale Zahlungsaufforderung benötigt Freigabe. Die Sicherheitsforscher vermuten eine Gruppe brasilianischer – eigentlich damit portugiesisch-sprachiger – Krimineller hinter der neuen Kampagne und glauben, diese vermiete die Malware außerdem an andere Gruppen – ein mittlerweile gängiges Modell auf dem Schwarzmarkt. Bislang sind vor allem die Bürger in Brasilien, Chile, Mexiko, Peru und erneut Spanien betroffen.
Abbildung: Angriffsweg des Banking-Trojaners Mekotio
Mekotio richtet sich gegen Windows-Rechner und bleibt nach dem Einbruch vorerst versteckt und weicht Viren-Scannern aus, bis sich der Nutzer des Rechners bei seinem elektronischen Bankkonto über das Internet anmeldet. In diesem Moment stiehlt die Malware dessen Zugangsinformationen. Die neue Version wurde in diesen Fähigkeiten gestärkt.
Verbreitet wird die Malware über eine spanischsprachige Phishing-Nachricht (siehe oben), die einen Link zu einem verseuchten zip-Archiv enthält oder eines anhängen hat. Wird dieses heruntergeladen und entpackt, nimmt Mekotio heimlich seine Arbeit auf. Ein interessanter Trick, weswegen die Malware kaum von Sicherheitslösungen erkannt wird: Sie verwendet eine veraltete Verschlüsselung namens substitution cipher, um ihre Dateien zu verstecken, die moderne Viren-Scanner oft nicht mehr erkennen. Auf der anderen Seite nutzen die Entwickler eine neue, kommerziell vertriebene Software namens Themida, um die Nutzlast des Schadprogrammes sehr ausgefeit zu verschlüsseln, sowie Anti-Debug und Anti-Monitoring als Funktionen zu integrieren.
Die Sicherheitsforscher mahnen die Bürger der Länder zu besonderer Vorsicht wegen der E-Mails und raten zur Nutzung der Zwei-Faktor-Authentifizierung, wodurch der Diebstahl der Anmelde-Daten zum E-Bank-Konto alleine nutzlos gemacht wird. Mehr zu Mekotio gibt es hier.
2015
