Aktuelles, Branche - geschrieben von am Donnerstag, Februar 16, 2017 14:17 - noch keine Kommentare

Banken ins Visier: Weltweites Distributionsnetzwerk von Malware entdeckt

Laut Palo Alto Networks tritt der Banking-Trojaner „Ursnif“ auch in Deutschland auf

[datensicherheit.de, 16.02.2017] Palo Alto Networks hat nach eigenen Angaben ein weltweites Distributionsnetz des berüchtigten Banking-Trojaners „Ursnif“ (auch „Gozi“ genannt) entdeckt. Dieser werde in einigen europäischen Ländern, darunter auch in Deutschland, sowie in Japan kontinuierlich bei Angriffen eingesetzt. Als Schlüsseltechnik zur Auslieferung kommen demnach Spam-E-Mails mit einem bösartigen Attachments zum Einsatz, um die „Ursnif“-Datei dann von einem entfernten Standort herunterzuladen.

Spam-Bot-Netzwerk und mehrere kompromittierte Webserver

Die Cyber-Kriminellen nutzten für ihre Angriffe zwei Hauptkomponenten – ein Spam-Bot-Netzwerk und mehrere kompromittierte Webserver. Bislang sei noch unklar, ob eine einzelne Gruppe mehrere Länder mit verschiedenen Bedrohungen durch die Nutzung dieser Infrastruktur angreift oder zahlreiche Bedrohungsakteure die Infrastruktur teilen.

„JavaScript“-Downloader als Anhang

Die meisten Malware-Dateien hat Palo Alto Networks „entweder als Banking-Trojaner oder Downloader-Trojaner“ klassifiziert. Das Spam-Botnet konzentriere sich auf deren Verbreitung in Deutschland, Japan, Italien, Spanien, Polen und Australien.
Die kompromittierten Webserver dienten als Host-System für Banking-Trojaner und Spam-Bot-Dateien, die vom bösartigen, per Spam verteilten Downloader-Programm, heruntergeladen würden.
Der jüngste von Palo Alto Networks entdeckte Anhang soll ein „JavaScript“-Downloader sein, der „Ursnif“ einfach von einem entfernten Standort herunterlädt und auf einer kompromittierten Maschine ausführt.

„Shiotob“ als Wegbereiter für „Ursnif“

Der Backdoor-Trojaner „Shiotob“ (auch „Bebloh“ oder „URLZone“) sei die bisher am meisten verbreitete Bedrohung in dieser Angriffsserie gewesen. Die Forscher hätten 75 einzigartige „Shiotob“-Varianten in sieben Millionen Spam-E-Mails identifiziert.
Interessanterweise könne Shiotob selbst Online-Bankdaten stehlen, aber die Angreifer nutzten „Shiotob“ nur für das Herunterladen der wichtigsten Inhalte, darunter eben „Ursnif“.

Palao Alto Networks: Die Infektion läuft folgendermaßen ab:

  1. Das Opfer erhält eine böswillige E-Mail und öffnet den Anhang, wodurch das Opfersystem mit „Shiotob“ infiziert wird.
  2. „Shiotob“ startet die Kommunikation des C2-Servers über HTTPS und empfängt regelmäßig Befehle.
  3. „Shiotob“ installiert zusätzliche Malware (wie „Ursnif“) basierend auf den Befehlen des C2-Servers.

Deutschland, Italien, Japan, Spanien und Polen als „Top-Zielländer“

Auf Grundlage der telemetrischen Ergebnisse seien Deutschland, Italien, Japan, Spanien und Polen die „Top-Zielländer“.
In Deutschland sei dabei neben „Ursnif“ auch der Banking-Trojaner „KINS“ zum Einsatz gekommen. Die Angreifer hätten den Inhalt und das Layout der Spam-Mails je nach Ziel „maßgeschneidert“, um möglichst viele Empfänger zu täuschen. Einige Wörter und Themen seien häufiger in den Spam-E-Mails bei allen Sprachen beobachtet worden – in der deutschen Variante seien dies: „Foto“, „Bestellung“, „Rechnung“ und „Versandbenachrichtigung“.

Missbrauch seit Jahren nicht gepflegter Server

Als nächstes hätten sich die Forscher von Palo Alto Networks auf die Suche nach Malware-Hosting-Webservern gemacht, auf die durch die Bedrohung in der Spam-Mail zugegriffen worden sei. Dabei habe sich herausgestellt, dass die Angreifer ihre Infrastruktur redundant machten, indem sie Bedrohungsdateien auf mehrere Server kopierten.
Indem Forscher den Links zu den Servern und bösartigen Dateien gefolgt seien, hätten sie mehr als 200 schädliche Dateien auf 74 Servern gefunden, die von den Angreifern verwendet worden seien. Die meisten davon seien europäische Server von privaten Websites oder kleinen bis mittleren Business-Websites mit veralteten Inhalten. Diese Server scheinen laut Palo Alto Networks von den Besitzern offensichtlich seit Jahren nicht gepflegt worden zu sein, was sie für die Angreifer zur Ausführung ihrer kriminellen Zwecke attraktiv gemacht habe.



Kommentieren

Kommentar

Current ye@r *

Medienpartnerschaft

Schulungsangebot

mITSM ISO 27001 Zertfifizierungs Audit

Partner

ZIM-BB
fit4sec

Gefragte Themen


Datenschutzhinweis