Thema: Trojaner URLZone stiehlt unbemerkt Geld

[SiLæncer]

Forscher der Security-Firma Finjan sind einem neuen Supertrojaner auf die Spur gekommen, der es auf die Bankdaten und das Geld seiner Opfer abgesehen hat. Dabei geht die auf dem Toolkit LuckySpoilt basierende Malware "URLzone" so vor, nur einen gewissen Prozentsatz des Kontovermögens zu klauen, um nicht aufzufallen.

Zusätzlich klinkt sie sich beim Online-Banking in den Browser ein und zeigt falsche Kontostände an, um den User in Sicherheit zu wiegen. Der Bank-Trojaner, der im übrigen auch in anderen Web-Accounts wie PayPal, Google-Mail und Facebook herumschnüffelt, besitzt Funktionen, die eigens dafür entwickelt wurden, Security-Software zu täuschen.

"Es handelt sich um einen Bank-Trojaner der nächsten Generation. Das ist Teil des neuen Trends, immer fortschrittlichere Malware zu programmieren, die für das Austricksen von Sicherheitssystemen optimiert ist", sagt Ben Itzhak von Finjan. Auch der Sicherheitsexperte Toralv Dirro von McAfee stimmt ihm zu. "Der Trend geht eindeutig hin zu aufwändigeren Trojanern. Kriminelle Gruppen entwickeln das ganz gezielt weiter, heute arbeitet eine ganze Reihe von Trojanern so wie der Beschriebene. Man kann das als eine Art Wettrüsten zwischen den Cyberkriminellen, Banken und der Sicherheitsindustrie interpretieren", sagt er im pressetext-Gespräch.

Zielgruppe des Trojaners waren die Kunden einiger deutscher Banken, die man vonseiten Finjans nicht nennen wollte. Insgesamt wurden mithilfe des Trojaners rund 300.000 Euro erbeutet. "Das halte ich noch für relativ wenig Beute, was wahrscheinlich an der relativ geringen Zahl der Infektionen lag. Normalerweise werden aber auch keine Informationen über die Höhe des finanziellen Schadens bekannt gegeben", so Dirro. Die Server, von der die Malware gesteuert wurde, konnten in der Ukraine lokalisiert werden. "Das läuft über sogenannte Bulletproof-Hoster. Die gibt es weltweit. Sie sind teurer als andere Hoster und lassen ihre Kunden dafür hosten, was sie wollen. Sie behaupten, der Inhalt der Server sei Sache der Kunden und gehe sie nichts an", sagt der Experte. Die deutschen Behörden sind informiert.

Die Finjan-Mitarbeiter schafften es, die Kommunikation des Trojaners auf einem infizierten System abzuhören und auf diese Art den Kommandoserver aufzuspüren. Diesen hatten die Cyberkriminellen unvorsichtigerweise nicht ausreichend gesichert, wodurch die Security-Experten allerlei Daten über den Trojaner beschaffen konnten, darunter auch Statistiken zu den Infektionen. Insgesamt sollen rund 90.000 Computer die Seiten, auf denen der Schädling gehostet war, besucht haben. Davon infizierten sich 6.400 mit der Malware - eine Erfolgsquote von 7,5 Prozent. Von ein paar hundert der infizierten Computer wurde tatsächlich Geld gestohlen, insgesamt etwa 300.000 Euro. Nach 22 Tagen verschwand der Trojaner Ende August wieder - offenbar hatten die Cyberkriminellen bemerkt, dass man ihnen auf der Spur war.

Infiziert wurden die Computer auf zwei verschiedene Methoden. Zum einen erhielten Opfer E-Mails, in denen Links enthalten waren, die sie auf eine zur Verbreitung des Trojaners erstellte Website lotsten. Die zweite Möglichkeit, sich den Trojaner einzufangen, war der Besuch von durch die Malware unterwanderten Internetseiten. So oder so, der Schädling nutzte eine bekannte Sicherheitslücke in gängigen Internetbrowsern aus, um sich auf der Festplatte des Opfers einzunisten und dort bis zum Aufruf der Internetseiten der Zielbanken in eine Art Schläfermodus zu verfallen. Startet der User Online-Banking-Dienste, wird die Malware aktiv. Sie kapert den Browser, analysiert den Kontostand, ermittelt einen Betrag, der ohne großes Aufsehen entwendet werden kann und überweist diesen auf das Konto eines Strohmanns, der einen kleinen Anteil an den erbeuteten Summen erhält. Anschließend wird der vom User beim Besuch der Banken-Website eigentlich erwartete Kontostand eingeblendet, wodurch dieser keinen Verdacht schöpft - zumindest solange er sich für seine Bankgeschäfte ausschließlich auf dem infizierten Computer anmeldet. Die Verwendung von Strohmännern scheint bei derartigen Angriffen gängige Praxis zu sein. "Diese sogenannten Mules sind ebenfalls Opfer. Das sind Leute, die auf dubiose Jobangebote als Finanzagent reinfallen. Sie werden in den meisten Fällen erwischt und wegen Geldwäsche angezeigt", weiß Dirro. Den Hintermännern ist freilich sehr viel schwerer beizukommen.

Quelle : www.tecchannel.de

[SiLæncer]

Die Hintermänner von Online-Banking-Trojanern legen neuerdings falsche Fährten, um Strafverfolger in die Irre zu führen. So hat Aviv Raff von den RSA FraudAction Research Labs herausgefunden , dass der Kontroll-Server des URLZone-Bot-Netzes absichtlich falsche Daten liefert, wenn er Verdacht schöpft, dass man ihn aushorchen will.

Für Betrügereien beim Online Banking setzen die Kriminellen schon seit Längerem so genannte "Money Mules" ein. Diese "Geldesel" agieren bei gefälschten Überweisungen als Geldwäscher. Sie verpflichten sich,  das eingehende Geld – abzüglich ihrer Provision – über Dienste wie Western Union an eine Adresse im Ausland zu schicken. Der Banking-Trojaner auf dem PC des Betrugsopfers holt sich die Kontonummer des Finanzagenten, auf die er die Überweisungen umleiten soll, jeweils vom Kontroll-Server seines Herrn und Meisters.

Die im Auftrag der Banken arbeitenden Sicherheitsspezialisten wie die RSA FraudAction Research Labs versuchen deshalb, die ihnen bekannten Bot-Net-Server auszuhorchen, indem sie sich als infizierte Opfer tarnen.  Wenn man die aktiven Finanzagenten einer Gang kennt,  kann man die fingierten Überweisungen frühzeitig entdecken und sperren. Dabei hat der Sicherheitsexperte Aviv Raff jetzt festgestellt, dass ihm der Server die Kontodaten von Unbeteiligten unterjubeln wollte. Offenbar hat der Bot-Netz-Server erkannt, dass es sich bei dem angeblichen Zombie nicht wirklich um ein Opfer handelte, und legte deshalb bewusst falsche Fährten aus.

Interessanterweise waren die Daten der gefälschten Esel nicht zufällig gewählt. Laut Raff handelte es sich durchweg um Kontodaten, die zuvor ein Trojaner-Opfer als Empfänger einer echten Überweisung benutzt hatte. Indem sie die Aktivitäten ihrer Opfer beobachten, erstellen die Gangster im Lauf der Zeit eine lange Liste von gültigen Bankverbindungen, die sie unter anderem für falsche Spuren einsetzen können. Die nichts Böses ahnenden Eigentümer könnten dann unter Umständen sogar in den Verdacht der illegalen Geldwäsche geraten, weil ja auf ihr Konto Geld überwiesen werden sollte.

Erst kürzlich wies die Sicherheitsfirma Finjan darauf hin, dass URLZone noch ein paar andere Spezialitäten im Repertoire hat. Dass Banking-Trojaner als "Man in the Browser" die angezeigten Web-Seiten der Bank manipulieren und die Liste der Überweisungen und Kontostand anpassen, um ihre Aktivitäten möglichst lange zu verschleiern, ist bereits seit einiger Zeit bekannt. Doch URLZone geht noch einen Schritt weiter und überprüft vor einem Raubzug anscheinend Kontostand und Dispo-Kredit seines Opfers, um nicht versehentlich durch Überziehung des Kontos Alarm zu schlagen und aufzufliegen.

All das zeigt, dass die Betrüger ganz offenbar auf den zunehmenden Druck durch private Ermittler und Strafverfolgungsbehörden reagieren. Besonders beunruhigend: URLZone hat sich offenbar auf Europa und dabei insbesondere auf deutsche Banken spezialisiert. Finjans Beispiele beziehen sich auf die Postbank. Deren Kunden könnten sich jedoch durch den Einsatz von mTANs schützen. Bei der Kontrolle von Betrag und Empfängerkonto in der SMS mit der mobilen TAN fliegt der Betrugsversuch dann unweigerlich auf.

Quelle : www.heise.de