60 Prozent der deutschen Unternehmen von Banking-Trojaner betroffen

Martin Schindler,
Banking Trojaner

Seit rund einem Jahr treibt Trojaner Dridex sein Unwesen und inzwischen hat er weltweit eine hohe Verbreitung erreicht, auch in Deutschland ist der Schädling offenbar hochgradig aktiv.

Die Malware Dridex verbreitet sich immer weiter. Jetzt veröffentlicht das Sicherheitsunternehmen FireEye neue Details über den seit etwa einem Jahr bekannten Schädling. Vor allem in Deutschland hat Dridex hohe Verbreitung. Laut dem Spezialisten für so genannte Advanced Persistend Threads sollen weltweit 6 von 10 Unternehmen mit dem Trojaner konfrontiert sein.

Die Daten stammen aus der Dynamic Threat Intelligence (DTI)-Cloud des Anbieters. Damit sind in dieser Statistik lediglich Unternehmen erfasst, die auch Kunden von FireEye sind. Allerdings ist Driedex nur ein Beispiel von vielen neuen Schädlingen, die mit ausgefeilten Methoden auf Unternehmen und Privatleute zielen.

In den USA wurden mit Hilfe des Schädlings bereits mehrere Millionen Dollar von Online-Kunden von Banken auf verschiedene ausländische Konten umgeleitet, heißt es von FireEye.

Die Hacker injizieren dafür HTML-Code in Banking-Websiten. Dadurch werden zusätzliche Eingabefelder angezeigt. Auf diesen gefälschten Eingabefeldern gibt dann der Anwender seinen Login ein. Eine weitere Variante leitet leitet Nutzer um dann über einen Proxy-Server zu kommunizieren. Auch in diesem Fall wird eine gefälschte Banking-Website angezeigt, auf der ebenfalls zusätzliche Eingabefelder nach Zugangsdaten fragen. In der dritten Variante fängt die Malware die Antwort der Banking-Website ab und leitet auf den PHP-Server des Angreifers um. Dieser injiziert Schadcode in die abgefangene Antwort.

Schwerpunkt ist laut der FireEye-Statistik Nordamerika. Doch auch in Deutschland sind immerhin 62,8 Prozent der Unternehmen von dem Trojaner infiziert. “Moderne Bedrohungen für die Cybersicherheit stellen immer auch eine weltweite Gefahr für die Sicherheit von Unternehmen dar. Der beobachtete Trojaner ist ein gutes Beispiel dafür”, kommentiert Frank Kölmel, Vice President Central & Eastern Europe bei FireEye. “Überall, wo vertrauliche Informationen oder Finanzdaten verwahrt oder übermittelt werden, versuchen Cyberkriminelle, an sie zu gelangen. Die Entwickler von Dridex sind kein Einzelfall.”

Die Exposure-Rate von Dridex: Die Daten stammen aus der Cloud-Anwendung Dynamic Threat Intelligence (DTI) von FireEye. (Bild: FireEye)
Die Exposure-Rate von Dridex: Die Daten stammen aus der Cloud-Anwendung Dynamic Threat Intelligence (DTI) von FireEye. (Bild: FireEye)

Die Kriminellen hinter Dridex entwickeln die entsprechenden Phishing-Kampagnen ständig weiter. Somit werden stets neue Methoden ausprobiert, um über Phishing-E-Mails die Malware auf die Rechner der Opfer zu bringen.

Zunächst operierten die Hacker mit E-Mails mit eingebetteten schädlichen Links oder Anhängen, die den Empfänger zur Nutzung eines Downloaders namens “Uptrade” bringen sollten. Seitdem beobachten Sicherheitsunternehmen wie FireEye weiterere Methoden, die sowohl mit schädlichen Links für Downloads und andere Websites als auch mit infizierten Datei-Anhängen arbeiteten.

Die meisten Weiterentwicklungen hinsichtlich der Methoden wurden 2014 im Zusammenhang mit dem Verstecken der Malware beobachtet. Dazu wurden beispielsweise Makros oder Server mit SSL-Zertifikaten verwendet.

Seit 2015 versuchen die Hacker über Makro-basierte Trojaner-Downloader und Multistage-Downloader das Aufspüren der Schädlinge zu erschweren. So wurden bis lang XML-Dokumente schädliche in PDF eingebettete Word-Dokumente oder auch seit Mai dieses Jahres MIME-basierte Microsoft Office-Dateien beobachtet.

Auch die Sicherheitsforscher von IBM warnen vor den Gefahren eines Banking-Torjaners. Der Schädling Tinba operiert ähnlich wie Dridex. Allerdings liegen bei Tinba, der auf der bekannten Tiny Banker Malware basiert die regionalen Angriffschwerpunkte in Polen und Italien. “Unsere Sicherheitsforscher haben dieses kriminelle Vorgehen im Mai 2015 entdeckt und festgestellt, dass es sich bei Tinba um einen alten Bekannten handelt”, sagt Gerd Rademann, Business Unit Executive bei IBM Security Systems DACH. “Tinba ist eine Variante des bereits 2012 entdeckten Tiny Banker. Der damals gemäß Dateigröße kleinste Trojaner der Welt war vor allem für Angriffe auf Banken in den USA konzipiert, nun feiert er ein unliebsames Comeback in Europa.”

Wie IBM-Sicherheitsexperte Ori Bach in einem Blogbeitrag ausführt, ist die jüngste Tinba-Kampagne nur eine von vielen ähnlichen Malware-Bedrohungen, die aus den USA nach Europa überschwappte. Cyberkriminellen gelinge es immer öfter, die Sprachbarriere zu überwinden und ihre Methoden zum Angriff auf lokale Banken einzusetzen. Auch wenn dies eine Herausforderung für Banken darstelle, die ihre Systeme noch nicht ausreichend abgesichert hätten, könnten andere davon profitieren, dass sie die fragliche Malware bereits woanders bekämpft haben.

Dennoch wird es offenbar für Sicherheitsunternehmen immer schwieriger, die Infrastrukturen der Hacker wirksam zu bekämpfen. Die Autoren der aktuellen Tinba-Variante etwa sorgen dafür, dass Bot-Befehle und Updates nur von einem mit einem öffentlichten Schlüssel autentifizierten Botmaster durchgeführt werden können. Bevor die Bot-Netze eine neue Konfiguration akzeptieren, autentifizieren die Bots den Update-Server. Auch eine eigene Verschlüsselungsschicht soll den Zugriff von Sicherheitsforscher verhindern. Notfalls weichen die Hacker auch auf die Kommunikation über automatisch generierte URLs aus.

[mit Material von Björn Greif, ZDNet.de]