Phishing: großes Malware-Puzzle
Mit so genannten Drive-by Downloads beginnt eine Kette von Malware-Installationen, die in einem nicht so einfach zu lösenden Puzzle endet. Mehrere Key-Logger sollen verschiedene Eingaben abfangen und an die Täter melden.
Bei ihren Bemühungen möglichst vielen Internet-Nutzern die Zugangsdaten zum Online-Banking zu stehlen verlegen sich kriminellen Gruppen vermehrt auf das Web, statt Massen von Phishing-Mails zu versenden. Francois Paget vom Antivirus-Hersteller McAfee berichtet in diesem Zusammenhang im AVERT-Blog über ein komplexes Malware-Puzzle, das er und seine Kollegen zu lösen hatten.
Die Täter locken potenzielle Opfer zunächst auf eine harmlos erscheinende Website. Dort wird eines von mehreren Scripten aktiv, das eine Sicherheitslücke im benutzten Web-Browser ausnutzt, um Malware von einem weiteren Server einzuschleusen. Da dies ohne die Mitarbeit des Benutzers geschieht, spricht man auch von "Drive-by" Downloads. Während der PC-Nutzer bereits zu einer anderen Website weiter gezogen ist, werkelt auf seinem PC im Hintergrund die eingeschleuste Malware.
Sie setzt zunächst das Windows Sicherheitscenter außer Gefecht, manipuliert Registry-Einträge und lädt ein weiteres Trojanisches Pferd. Dann löscht sich das Download-Programm selbst und gibt die Kontrolle an das Trojanische Pferd weiter. Dieses ermittelt mit Hilfe von Javascript anhand der IP-Adresse den Standort (Land und Stadt) des verseuchten Rechners und meldet diese Daten an einen Server der Täter. Dann lädt es zwei weitere Schädlinge herunter und verschwindet.
Diese installieren mehrere Key-Logger unterschiedlichen Typs. Während der eine Bildschirmfotos anfertigt, sobald eine Web-Seite die Eingabe von Zugangsdaten erfordert, ist ein anderer als Browser Helper Object (BHO) im Internet Explorer aktiv und fängt Eingaben ab. Neben dem Online-Bezahldienst eGold sind zum Beispiel die Banking-Seiten der Deutschen Bank und der Postbank Ziele dieses Programms. Ein dritter Key-Logger zeichnet alle Tastatureingaben sowie die besuchten URLs während einer Web-Sitzung auf.
Als ob das noch nicht genug wäre, wird auch noch ein Backdoor-Programm installiert, das den Tätern den Zugriff auf den verseuchten PC über das Internet ermöglicht. Es startet zudem noch einen lokalen Web-Server. Insgesamt besteht das Malware-Puzzle aus mindestens 11 Teilen. Die Opfer verteilen sich über die ganze Welt. Die meisten sind in den USA, gefolgt von Frankreich und der Türkei. Deutschland liegt in der Liste auf Platz 7 hinter Polen. Die Zahlen stammen von einem Server, an den die Schädlinge die ermittelten Informationen gemeldeten hatten - bevor er dicht gemacht wurde.
Die globale Verteilung der Opfer zeigt, dass man sich in keinem Land der Welt vor Angriffen dieser Art sicher fühlen sollte. Die Globalisierung ist auch in der Online-Kriminalität längst bittere Realität.
Quelle
Zitieren