Banking-Trojaner auf zehntausenden Computern
Banking-Trojaner Dyreza versteckt sich in harmlosen Fax-Nachrichten
Malware installiert sich selbst und wird nur dann aktiv, wenn der PC-Nutzer seine Anmeldedaten auf bestimmten Websites eingibt
(20.02.15) - Eine groß angelegte Spam-Welle installiert den Banking-Trojaner Dyreza auf zehntausenden Computern, um an sensible Bankdaten von nichtsahnenden Nutzern zu gelangen. In den gefährlichen Spam-Nachrichten finden sich Links auf HTML-Dateien. In diesen Dateien sind URL-Links enthalten, die den Nutzer auf geschickt verborgenen JavaScript-Code weiterleiten, der dann automatisch ein ZIP-Archiv von einem Remotespeicherort herunterlädt.
Interessanterweise hat jedes heruntergeladene Archiv einen neuen Namen, um Virenschutzlösungen zu umgehen. Dieses Verfahren wird als serverseitige Polymorphie bezeichnet und wird eingesetzt, um sicherzustellen, dass die heruntergeladene Schaddatei stets brandneu ist.
Doch damit ist der Schwindel noch nicht abgeschlossen. Der gleiche JavaScript-Code leitet den Nutzer sofort nach Download des Archivs zu der Länder-Website eines Fax-Anbieters weiter. Die Inhalte des Archivs scheinen auf den ersten Blick PDF-Dateien zu sein. Tatsächlich handelt es sich dabei aber um ausführbare Dateien, denen ein PDF-Symbol hinzugefügt wurde. Sie dienen als Downloadprogramm, über das der Dyreza-Banking-Trojaner auch bekannt als Dyre abgerufen und ausgeführt wird.
Analyse der Dyre-Malware
Dyre wurde zum ersten Mal im Jahr 2014 beobachtet und ist dem berühmt-berüchtigten Zeus-Trojaner sehr ähnlich. Er installiert sich selbst auf dem Computer eines Nutzers und wird nur dann aktiv, wenn dieser seine Anmeldedaten auf bestimmten Websites eingibt, meist handelt es sich dabei um die Anmeldeseite einer Bank oder eines Finanzdienstleisters. Bei dieser als "Man-in-the-Browser" bekannten Angriffsform injizieren Hacker schädlichen JavaScript-Code, der es ihnen erlaubt, Anmeldedaten zu stehlen und die zugehörigen Benutzerkonten zu manipulieren, ohne dabei entdeckt zu werden.
Und obwohl diese spezifische Bedrohung bekannt dafür ist, gegen Reverse-Engineering-Verfahren immun zu sein, ist es den Malware-Forschern von Bitdefender gelungen, sie zu analysieren und eine Liste der betroffenen Websites zu erstellen. Diese hat ergeben, dass Kunden renommierter Finanz- und Bankinstitutionen in den USA, Großbritannien, Irland, Deutschland, Australien, Rumänien und Italien in das Visier der Kriminellen geraten sind.
Kunden der Deutschen Bank, Axa Bank Europe, Bankhaus August Lenz, Dab Bank, Degussa Bank, Valovis Bank und HypoVereinsbank gehören unter Umständen zu den Opfern des Daten- und Gelddiebstahls. Auch Kunden der Bank of America Citibank, Wells Fargo, JP Morgan Chase und RBC Royal Bank (Kanada) könnten von dem Diebstahl betroffen sein. Banken wie NatWest, Barclays, Royal Bank of Scotland, HSBC, Lloyds Bank, Santander, Turkish Bank und Bank Leumi UK sind ins Visier der Hacker geraten.
Zwar handelt es sich hierbei um eine recht raffinierte Angriffsmethode, aber auch hier sind die Drahtzieher darauf angewiesen, dass der Nutzer aus Neugier das Archiv öffnet und seine Inhalte manuell ausführt. Lässt man die gebotene Vorsicht walten, reduziert sich also die Wahrscheinlichkeit einer Infektion.
Laut den Bitdefender Labs wurden an nur einem Tag 30.000 schädliche E-Mails über Spam-Server in den USA, Russland, der Türkei, Frankreich, Kanada und Großbritannien verschickt. Ungewöhnlich ist, dass der Name der Kampagne 2201us auf das Angriffsdatum (22. Januar) und das Zielland (USA) hinzuweisen scheint.
Bitdefender erkennt und blockiert alle Bestandteile der Bedrohung: die .js-Datei, das Downloadprogramm sowie die ausführbare Datei. Der Trojaner wird erkannt als Gen:Trojan.Heur.AuW@Izubv1ni. Bitdefender möchte Computernutzer daran erinnern, dass sie möglichst nicht auf Links in E-Mails von unbekannten Absendern klicken sollten und rät ihnen, ihren Virenschutz stets mit den neuesten Virendefinitionen zu aktualisieren. (Bitdefender: ma)
Bitdefender: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.