Banking-Malware Terdot über Phishing-Mails auch in Deutschland in Umlauf

Stefan Beiersmann,
Malware (Bild: Shutterstock.com/Maksim Kabakou)

Die Malware Terdot späht neben Bankdaten auch die Anmeldedaten für Soziale Netzwerke wie Facebook und Twitter aus. Außerdem kann die Malware auch den E-Mail-Verkehr abhören. In den E-Mails ist in der Regel ein Button enthalten, der angeblich zu einer PDF-Datei führt, stattdessen aber JavaScript-Code zum Download der Malware ausführt.

Bitdefender hat eine neue Variante des Banking-Trojaners Terdot entdeckt, die über zusätzliche Spionagefunktionen verfügt. Sie erlauben es dem Ableger der Zeus-Familie, Einträge in sozialen Medien wie Facebook und Twitter zu überwachen und zu verändern. Darüber hinaus kann die seit Mitte 2016 aktive Malware auch den E-Mail-Verkehr abhören.

Bitdefender (Grafik: Bitdefender)

Wie andere Zeus-Ableger auch, richtet sich Terdot ausschließlich gegen Windows-Systeme. Gefährdet sind derzeit vor allem Nutzer in den USA, Kanada, Großbritannien, Australien und Deutschland.

“Konten von Sozialen Medien können auch als Verbreitungsmethode benutzt werden, sobald die Malware angewiesen wurde, Links zu herunterladbaren Kopien der Malware zu posten”, sagte Bogdan Botezatu, Senior e-Threat Analyst bei Bitdefender. “Darüber hinaus kann die Malware Anmeldedaten und Cookies stehlen, sodass seine Hintermänner Konten von Sozialen Medien übernehmen und den Zugang dazu verkaufen können.”

Auffällig ist den Forschern zufolge, dass Terdot verschiedene Soziale Netzwerke ins Visier nimmt, jedoch keine Nutzer der russischen Plattform VK. Das führte sie zu der Annahme, die Cyberkriminellen könnten von Osteuropa aus operieren.

Auf ein Windows-System gelangt Terdot in der Regel über Phishing-E-Mails. Sie enthalten einen Button, der angeblich zu einer PDF-Datei führt, aber stattdessen JavaScript-Code zum Download der Malware ausführt, sollte er angeklickt werden. Um einer Erkennung durch Sicherheitssoftware zu entgehen, wird Terdot in mehreren Schritten auf die Festplatte geladen. In Einzelfällen kam laut Bitdefender aber auch das Exploit-Kit Sundown zum Einsatz.

Ausgewähltes Webinar

Praxisleitfaden für den Schutz von Unternehmen vor Ransomware

Helge Husemann, Product Marketing Manager EMEA von Malwarebytes, stellt in diesem 60-minütigen Webinar (Aufzeichnung) die neue Sicherheitslösung Malwarebytes Endpoint Protection vor. Sie enthält ein mehrstufiges Sicherheitskonzept und bietet damit einen effektiven Schutz vor modernen Bedrohungen wie WannaCry, Petya und anderen.

zum Webinar »

Nach seiner Installation kapert Terdot Browserprozesse, um den Traffic zu überwachen. Mithilfe einer Spionagesoftware werden Daten ausgelesen und anschließend an einen Befehlsserver übermittelt.

Bitdefender stuft Terdot als eine erhebliche Bedrohung ein. Es gebe zwar Trojaner mit einer deutlich höheren Verbreitung, die Kombination aus Banking-Malware und Spyware mache Terdot jedoch zu einer gefährlichen Weiterentwicklung im Bereich Cybercrime. “Was unsere Aufmerksamkeit erregt hat, ist die Raffinesse der Malware und ihre Fähigkeit, unentdeckt auf einem bereits infizierten Gerät zu agieren”, ergänzte Botezatu.

Tipp: Wie gut kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.