Thought Leadership
Eine altbekannte Banking-Malware ist wieder auf dem Vormarsch, diesmal allerdings mit neuen Fähigkeiten. Die neue Variante von Ursnif ähnelt nun Trojanern wie Emotet oder Trickbot.
Kriminelle haben einem der ältesten und erfolgreichsten Banking-Trojaner neues Leben eingehaucht und ihm neue Fähigkeiten mitgegeben, die auch für Ransomware-Angriffe eingesetzt werden könnten. Ursprünglich war die seit 2006 im Umlauf befindliche Malware namens Ursnif, oder auch Gozi, dazu gedacht, Bankdaten zu stehlen und hat so mehrere Millionen US-Dollar an Schäden angerichtet. Das FBI bezeichnete Ursnif sogar einmal als einen der „finanziell zerstörerischsten Computerviren der Geschichte“. In den letzten Jahren ist es jedoch deutlich ruhiger um die Malware geworden, nachdem der Quellcode veröffentlich wurde. Zwar tauchten immer wieder neue Varianten auf, doch die großen Jahre von Ursnif schienen vorbei.
Das könnte sich jetzt ändern, denn Sicherheitsforscher von Mandiant haben eine völlig neue Variante des Virus entdeckt und ihr den Namen LDR4 gegeben. Im Gegensatz zu den bisherigen Varianten scheint sich LDR4 nicht mehr nur als Banking-Trojaner zu betätigen, sondern verfügt über neue Fähigkeiten, die eher an Emotet oder Trickbot erinnern. Angreifer können so nicht nur Daten von infizierten Rechnern stehlen, sondern über die Malware außerdem Ransomware oder andere Schädlinge einschleusen. Die Schäden, die durch die neue Variante angerichtet werden könnten, übersteigen damit das bisherige Potenzial von Ursnif bei weitem.
Erstmals beobachtet wurde LDR4 bereits im Juni dieses Jahres. Bei der Verbreitung scheinen die Hintermänner keine Experimente machen zu wollen: Wie alle bisherigen Varianten (und viele, viele andere Viren) wird auch LDR4 per Phishing-Mail übertragen. Zumindest in einigen beobachteten Fällen gaben sich die Kriminellen als Recruiter aus, der angeblich ein interessantes Jobangebot für das anvisierte Opfer habe. Aus Datenschutzgründen sei es ihm leider nicht möglich, Details in der E-Mail zu nennen, aber man könne unter einem Link ein Dokument herunterladen, das alle wichtigen Informationen enthalte. Neben dieser mittlerweile recht verbreiteten Vorgehensweise, nutzen die Kriminellen außerdem ein Dokument, das sich als eine dringende Rechnung ausgibt und ebenfalls heruntergeladen werden soll. Folgt das Opfer dieser Aufforderung, wird die Ursnif-Payload heruntergeladen und die Kriminellen erhalten so Zugriff auf den Computer des Opfers.
Wer sich vor Ursnif schützen will, sollte die grundlegenden Sicherheitsregeln im Umgang mit dem Internet und vor allem mit E-Mails beherzigen. Gerade weil die Malware über eine Phishing-Kampagne verbreitet wird, unterscheiden sich die Schutzmaßnahmen nicht von denen gegenüber anderer Malware. Dazu gehört es auch, nicht einfach auf Links zu klicken, deren Herkunft und Ziel man nicht kennt. Das gilt auch für Dokumente und andere Anhänge in E-Mails. Darüber hinaus sollte man grundsätzlich nicht mit einem Admin-Profil im Netz arbeiten. So hat es Schadsoftware deutlich schwerer, sich überhaupt zu installieren und festzusetzen.
www.8com.de
