SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

TrojanerEin neuer Bankentrojaner bedroht Nutzer von Microsoft Windows. Die Virenanalysten von Doctor Web erforschen den Schädling bereits.

Bankentrojaner versuchen das Geld von den Konten der Kreditinstitute zu klauen und stellen somit für Banken und Kunden gleichermaßen eine Gefahr dar. Der neue Schädling basiert auf dem Quellcode des Trojaners Zeus (Trojan.PWS.Panda) und nennt sich Trojan.PWS.Sphinx.2. Dieser führt Web-Injects aus, indem er fremde Inhalte (u.a. gefälschte Formulare mit Benutzernamen und Passwort) in Webseiten einbettet und geklaute Daten an Cyber-Kriminelle weiterleitet. Da die URL in der Adresszeile des Browsers und das Websitelayout dem Original sehr ähnlich sind, geschieht dies unbemerkt für die Opfer. Die Malware kann so das Geld der Kunden aus mehreren Banken entwenden.

Wenn der Benutzer eine Webseite aufruft, die in der Konfiguration des Trojaners enthalten ist, werden fremde Inhalte in die Webseite eingebaut. Ein Beispiel dafür liefert Trojan.PWS.Sphinx.2, der auf bankofamerica.com fremde Inhalte unterschiebt:

Bankentrojaner

So funktioniert der Bankentrojaner

Trojan.PWS.Sphinx.2 bettet sich beim Booten in den Prozess explorer.exe ein und entschlüsselt einen Konfigurationsblock. Auf diesem sind die Adresse des Verwaltungsservers und der Schlüssel für ein- und ausgehende Daten gespeichert. Trojan.PWS.Sphinx.2 verfügt dabei über eine Modul-Architektur: Der Trojaner lädt auf Anforderung der Cyber-Kriminellen zusätzliche Plug-ins herunter. Zwei Module sind zum Starten in 32- und 64-Bit-Versionen von Windows vorgesehen, zwei weitere zum Starten auf dem infizierten Rechner des VNC-Servers. Über diesen Server stellen die Cyber-Kriminellen dann eine Verbindung zum infizierten PC her.

Trojan.PWS.Sphinx.2 lädt zudem eine Reihe von Tools zur Installation eines digitalen Zertifikats herunter und speichert diese auf dem infizierten PC. Das Zertifikat wird von Cyber-Kriminellen für Angriffe nach der Man-in-the-Middle-Methode verwendet. Der Trojaner verfügt zudem über einen Grabber, der Daten des Benutzers abfängt und an einen Remote-Server der Cyber-Kriminellen weiterleitet.

Besonders interessant ist die Methode zum Starten des Trojaners auf dem infizierten Rechner: Dafür wird ein Szenario in der PHP-Sprache sowie ein Interpretator verwendet. Das Szenario wird durch eine Verbindung im Autostart-Verzeichnis ausgeführt. Alle Informationen werden verschlüsselt im Windows-Registry gespeichert, die Module in einer verschlüsselten Datei mit zufälliger Erweiterung.

Dr.Web Antivirus spürt Trojan.PWS.Sphinx.2 problemlos auf, weshalb der Trojaner für Dr.Web Nutzer keine Gefahr darstellt.
 

GRID LIST
DNS

DNS wird zur ersten Verteidigungslinie gegen Cyber-Attacken

F-Secure und die Global Cyber Alliance bekämpfen künftig gemeinsam bösartige URLs mit…
Fisch aus Wasser

Gezielte Cyberangriffe von „MuddyWater“

Unit 42, das Forschungsteam von Palo Alto Networks, hat Cyberangriffe beobachtet, die sie…
Malware

Was Sie jetzt über Malware wissen müssen

Neue Viren, Ransomware und Co erfordern aktuelle Anti-Malware-Programme: Häufig ist die…
DDoS

Mehr komplexe DDoS-Attacken: Gaming-Industrie im Visier

In verschiedenen Ländern sind Ressourcen ins Visier der Angreifer geraten, ebenso wie wir…
Thomas Ehrlich

„Ordinypt“ entpuppt sich als gefährlicher Wiper

Die vermeintliche Ransomware „Ordinypt“ erweist sich als gefährlicher Wiper. Ein…
IT-Sicherheit

BSI Lagebericht: IT-Sicherheit in Deutschland 2017

Dank dem BSI und vielen anderen Security-Forschern liegen uns heute wesentlich mehr…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet