Bankraub 2.0: Supertrojaner wütet in Deutschland
publiziert: Donnerstag, 1. Okt 2009 / 08:56 Uhr / aktualisiert: Donnerstag, 1. Okt 2009 / 16:31 Uhr

Cyberkriminelle erbeuteten binnen 22 Tagen rund 300'000 EuroBerlin/San Jose - Forscher der Security-Firma Finjan sind einem neuen Supertrojaner auf die Spur gekommen, der es insbesondere auf die Bankdaten und das Geld seiner Opfer abgesehen hat.

6 Meldungen im Zusammenhang
Dabei geht die auf dem Toolkit LuckySpoilt basierende Malware «URLzone» so gevieft vor, nur einen gewissen Prozentsatz des auf einem Konto befindlichen Vermögens zu klauen, um nicht so schnell aufzufallen. Zusätzlich klinkt sie sich beim Online-Banking in den Browser ein und zeigt falsche Kontostände an, um den User in Sicherheit zu wiegen.

Der Bank-Trojaner, der im übrigen auch in anderen Web-Accounts wie PayPal, Gmail und Facebook herumschnüffelt, besitzt Funktionen, die eigens dafür entwickelt wurden, Security-Software zu täuschen.

«Es handelt sich um einen Bank-Trojaner der nächsten Generation. Das ist Teil des neuen Trends, immer fortschrittlichere Malware zu programmieren, die für das Austricksen von Sicherheitssystemen optimiert ist», sagt Ben Itzhak von Finjan.

Auch der Sicherheitsexperte Toralv Dirro von McAfee stimmt ihm zu. «Der Trend geht eindeutig hin zu aufwändigeren Trojanern. Kriminelle Gruppen entwickeln das ganz gezielt weiter, heute arbeitet eine ganze Reihe von Trojanern so wie der Beschriebene. Man kann das als eine Art Wettrüsten zwischen den Cyberkriminellen, Banken und der Sicherheitsindustrie interpretieren», sagt er.

Kommunikation des Trojaners abgehört

Zielgruppe des Trojaners waren die Kunden einiger deutscher Banken, die man vonseiten Finjans nicht nennen wollte. Insgesamt wurden mithilfe des Trojaners rund 300'000 Euro erbeutet. «Das halte ich noch für relativ wenig Beute, was wahrscheinlich an der relativ geringen Zahl der Infektionen lag. Normalerweise werden aber auch keine Informationen über die Höhe des finanziellen Schadens bekannt gegeben», so Dirro.

Die Server, von der die Malware gesteuert wurde, konnten in der Ukraine lokalisiert werden. «Das läuft über sogenannte Bulletproof-Hoster. Die gibt es weltweit. Sie sind teurer als andere Hoster und lassen ihre Kunden dafür hosten, was sie wollen. Sie behaupten, der Inhalt der Server sei Sache der Kunden und gehe sie nichts an», sagt der Experte. Die deutschen Behörden sind informiert.

Die Finjan-Mitarbeiter schafften es, die Kommunikation des Trojaners auf einem infizierten System abzuhören und auf diese Art den Kommandoserver aufzuspüren. Diesen hatten die Cyberkriminellen unvorsichtigerweise nicht ausreichend gesichert, wodurch die Security-Experten allerlei Daten über den Trojaner beschaffen konnten, darunter auch Statistiken zu den Infektionen.

Insgesamt sollen rund 90'000 Computer die Seiten, auf denen der Schädling gehostet war, besucht haben. Davon infizierten sich 6400 mit der Malware - eine Erfolgsquote von 7,5 Prozent. Von ein paar hundert der infizierten Computer wurde tatsächlich Geld gestohlen, insgesamt etwa 300'000 Euro. Nach 22 Tagen verschwand der Trojaner Ende August wieder - offenbar hatten die Cyberkriminellen bemerkt, dass man ihnen auf der Spur war.

Transaktion über Strohmänner

Infiziert wurden die Computer auf zwei verschiedene Methoden. Zum einen erhielten Opfer E-Mails, in denen Links enthalten waren, die sie auf eine zur Verbreitung des Trojaners erstellte Website lotsten. Die zweite Möglichkeit, sich den Trojaner einzufangen, war der Besuch von durch die Malware unterwanderten Internetseiten.

So oder so, der Schädling nutzte eine bekannte Sicherheitslücke in gängigen Internetbrowsern aus, um sich auf der Festplatte des Opfers einzunisten und dort bis zum Aufruf der Internetseiten der Zielbanken in eine Art Schläfermodus zu verfallen. Startet der User Online-Banking-Dienste, wird die Malware aktiv. Sie kapert den Browser, analysiert den Kontostand, ermittelt einen Betrag, der ohne grosses Aufsehen entwendet werden kann und überweist diesen auf das Konto eines Strohmanns, der einen kleinen Anteil an den erbeuteten Summen erhält.

Anschliessend wird der vom User beim Besuch der Banken-Website eigentlich erwartete Kontostand eingeblendet, wodurch dieser keinen Verdacht schöpft - zumindest solange er sich für seine Bankgeschäfte ausschliesslich auf dem infizierten Computer anmeldet.

Die Verwendung von Strohmännern scheint bei derartigen Angriffen gängige Praxis zu sein. «Diese sogenannten Mules sind ebenfalls Opfer. Das sind Leute, die auf dubiose Jobangebote als Finanzagent reinfallen. Sie werden in den meisten Fällen erwischt und wegen Geldwäsche angezeigt», weiss Dirro. Den Hintermännern ist freilich sehr viel schwerer beizukommen.

(bert/pte)

Kommentieren Sie jetzt diese news.ch - Meldung.
Lesen Sie hier mehr zum Thema
London/Cork/Ingolstadt - Ein ... mehr lesen
«Es ist leicht, Nutzer dazu zu bekommen, Gratisspiele herunterzuladen», erklärt David Sancho, Senior Threat Researcher bei Trend Micro.
Mehr als hundert Kunden sind von dem Pariser Bankraub betroffen.(Symbolbild)
Paris - Von dem spektakulären ... mehr lesen
Frankfurt - Der Betrug mit EC-Karten und im Online-Banking hat in Deutschland 2009 zugenommen. Besonders stark war nach Angaben von BKA-Chef Jörg Ziercke der Zuwachs an Angriffen auf Bankkonten übers Internet, was Experten als «Phishing» bezeichnen. mehr lesen 
Weitere Artikel im Zusammenhang
Bochum - Die Malware-Community ... mehr lesen
Die Zahl neuer Computerschädlinge sank im Juni um mehr als 30 Prozent. (Symbolbild)
.
Digitaler Strukturwandel  Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in seiner jetzigen Form einzustellen. Damit endet eine Ära medialer Pionierarbeit. mehr lesen 21
Beim Surfen im Internet werden digitale Spuren hinterlassen, in vielen Fällen nicht zum Vorteil der User.
Beim Surfen im Internet werden digitale ...
Lage in der Schweiz und International  Bern - Der 30. Halbjahresbericht der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den wichtigsten Cybervorfällen der zweiten Jahreshälfte 2019 in der Schweiz wie auch international. Schwerpunktthema im aktuellen Bericht bildet der Umgang und die Problematik von Personendaten im Netz. mehr lesen 
Der passende Domainname fehlte  Nach einem grösseren Datenleck beim erfolglosen Social Media Projekt Google Plus zieht Google den Stecker. Die Gelegenheit scheint günstig diesen überfälligen Schritt zu vollziehen. Die Übermacht von Facebook, zusammen mit Schwesterprojekten wie Instagram und WhatsApp, war zu gross und etwas entscheidendes, bisher wenig beachtetes, fehlte zudem... eine eigene Domain. mehr lesen  
.
eGadgets news.ch geht in Klausur Nach über 16 Jahren hat sich news.ch entschlossen, den Titel in ... 21
Domain Namen registrieren
Domain Name Registration
Zur Domain Registration erhalten Sie: Weiterleitung auf bestehende Website, E-Mail Weiterleitung, Online Administration, freundlichen Support per Telefon oder E-Mail ...
Domainsuche starten:


 
Stellenmarkt.ch
OFT GELESEN
Kreditrechner
Wunschkredit in CHF
wetter.ch
Heute Sa So
Zürich 16°C 21°C wechselnd bewölktleicht bewölkt, ueberwiegend sonnig recht sonnig recht sonnig
Basel 17°C 23°C wechselnd bewölktleicht bewölkt, ueberwiegend sonnig recht sonnig recht sonnig
St. Gallen 13°C 18°C wechselnd bewölkt, Regenleicht bewölkt, ueberwiegend sonnig recht sonnig recht sonnig
Bern 15°C 20°C wolkig, aber kaum Regenleicht bewölkt, ueberwiegend sonnig recht sonnig recht sonnig
Luzern 15°C 19°C wechselnd bewölkt, Regenleicht bewölkt, ueberwiegend sonnig freundlich recht sonnig
Genf 16°C 21°C wechselnd bewölktleicht bewölkt, ueberwiegend sonnig recht sonnig recht sonnig
Lugano 17°C 26°C vereinzelte Gewitterleicht bewölkt, ueberwiegend sonnig recht sonnig recht sonnig
mehr Wetter von über 8 Millionen Orten