Waski: Banking-Trojaner verbreitet sich auf deutschen PCs

Malware (Bild: Shutterstock)

Der Schädling verteilt sich über Spam-Mails und installiert die Malware Battdil auf dem Rechner des Opfers. Das Schadprogramm ermöglicht es Angreifern, vertrauliche Bankdaten und Kreditkarten-PINs abzugreifen. Nutzer sollten unbekannte Mail-Anhänge nicht öffnen.

Eset hat eine Warnung vor dem Torjaner “Waski” herausgegeben. Dieser verteile sich rasant schnell in Deutschland. Das Sicherheitsunternehmen hat das Schadprogramm unter der Bezeichnung Win32/TrojanDownloader.Waski identifiziert. Er verbreitet sich per E-Mail und lädt beim Ausführen der angehängten ZIP-Datei die Banking-Malware Batdill (Win32/Batdill) aus dem Internet. Nutzer sollten keine Dateianhänge von unbekannten Absendern öffnen.

Im November 2013 tauchte Waski zum ersten Mal auf. Aber erst jetzt verbreitet er sich auch auf deutschen Rechnern. In den vergangenen Monaten gehörte der Trojaner Eset zufolge zu einer der am häufigsten auftretenden Schädlingen hierzulande. Das ESET VirusRadar zeige in Deutschland seit Anfang des Jahres eine spürbar steigende Infektionsrate. Sie bewege sich momentan entlang der Vier-Prozent-Marke.

Cyberkriminelle würde Waski weniger für gezielte Attacken nutzen, sondern den Trojaner vielmehr mit ungezielten Spam-Mails unter die Leute bringen. Die Verbreitung dieser E-Mails erfolge über bekannte Botnets, die die Adressbücher ihrer Opfer auslesen. Die Mails bestehe zum Großteil nur aus einem englischen Satz sowie den als ZIP-Datei getarnten Trojaner im Anhang.

Führt ein Nutzer die ZIP-Datei aus, lädt der Waski-Downloader weitere Schadsoftware herunter. Bei den durch den Security-Anbieter untersuchten Exemplaren handelte es sich demzufolge um den Banking-Trojaner “Battdil” (Win32/Battdil bzw. Win64/Battdil).

Waski-Trojaner (Grafik: Eset)
Den Trojaner mit der offiziellen Bezeichnung Win32/TrojanDownloader.Waski hat sich laut Eset in Deutschland in den letzten Monaten rasant verbeitet. Aktuell bewegt sich die Infektionsrate entlang der Vier-Prozent-Marke (Grafik: Eset).

Anschließend liest die Schadsoftware die öffentliche IP-Adresse des Opfers aus. Dafür verbindet sich Waski mit der Domain checkip.dyndns.com und erhält auf diese Weise die entsprechende IP-Adresse. Mit dieser berechnet die Malware eine eindeutige Identifikationsnummer, die zusammen mit anderen Informationen des Opfers – etwa Computername, Windows-Version oder Service-Pack-Nummer des Betriebssystems – an einen von Waski kontaktierten Command-and-Control-Server (C&C-Server) geschickt wird.

Darüber hinaus lädt das Schadprogramm eine verschlüsselte PDF-Datei von einer kompromittierten Website herunter. Dabei handle es sich um den Zusammenschluss zweier Dateien. Zum einen setzt sich das Paket zwar aus einer regulären PDF-Datei zusammen, zum anderen aber auch aus Win32/Battdil.

Letztere besteht ebenfalls aus zwei Teilen, einem sogenannten Injector respektive Dropper und einer Payload. Der Injector lädt, nachdem er gestartet wurde, die Payload. Normalerweise ist der Injector eine ausführbare EXE-Datei und die Payload eine DLL-Datei, die im Injector gespeichert ist. Oftmals hat letzterer die Aufgabe, die Payload mittels DLL-Injection in einen Windows-Prozess zu injizieren, so auch im Fall von Win32/Battdil.

Chrome, Firefox und Internet Explorer gefährdet

Die Payload von Win32/Battdil beginnt laut Eset anschließend mit ihrer Arbeit, indem sie sich in den jeweiligen Browser des Nutzers einklinkt und die für das Online-Banking benötigten Log-in-Daten abfängt. Dem slowakischen Unternehmen zufolge ist die Malware in der Lage, sich in allen gängigen Browsern wie dem Internet Explorer, Firefox, Chrome oder Chromium einzunisten.

Ferner soll es die Webseiten von Banken so manipulieren können, dass ein Opfer beim Besuch nicht das Original zu sehen bekommt, sondern eine modifizierte Version. Beispielsweise würden beim Log-in oftmals zusätzliche Eingabefelder – etwa eine Abfrage der Kreditkarten-PIN – eingebaut, die dann bei Eingabe an den Angreifer gesendet wird. Die gesammelten Informationen verschicke die Schadsoftware schließlich über eine SSL-verschlüsselte Verbindung an ihren Befehlsserver. Win32/Battdil besitze zudem die Möglichkeit, sich anonymisiert über das sogenannte Invisible Internet Projekt (I2P) mit dem Kommandoserver zu verbinden.

Eset mahnt deutsche Internetnutzer deshalb dringend zur Vorsicht in Sachen E-Mail. Unbekannte Dateianhänge sollten niemals blind geöffnet werden, eine aktuelle Sicherheitssoftware sei ebenfalls Pflicht und sollte durch Updates stets aktuell gehalten werden.

Bei einer E-Mail dieser Form in englischer Sprache sollten Nutzer alarmiert sein. Sie enthält Waski als ZIP-Datei im Anhang (Screenshot: Eset).
Bei einer E-Mail dieser Form in englischer Sprache sollten Nutzer alarmiert sein. Sie enthält Waski als ZIP-Datei im Anhang (Screenshot: Eset).

Die zehn größten Gefahren im Internet

Ende vergangener Woche hatte der Bitkom die größten Bedrohungen für Internutzer veröffentlicht. Demnach sind vor allem Trojaner und Würmer immer noch am weitesten verbreitet. Täglich würden außerdem etwa 350.000 neue Varianten von Schadsoftware im Internet auftauchen.

Nutzer können sich aber einfach schützen. Sie müssen nur ihre Anti-Viren-Programme sowie Betriebssystem auf dem aktuellsten Stand halten und nur auf Links in E-Mails von vertrauenswürdigen Absendern klicken.

[mit Material von Rainer Schneider, ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de