KRBanker: Angriffe mittels Adware und Exploit-Kits

Palo Alto Networks veröffentlicht neue Erkenntnisse zu Banking-Malware

[datensicherheit.de, 09.05.2016] Online-Banking ist seit vielen Jahren ein bevorzugtes Ziel von Cyber-Kriminellen – und die Angriffe nehmen weiter zu. Die Verbrecher hinter diesen Kampagnen nähmen gezielt Online-Banking-Nutzer ins Visier, um ihre Anmeldeinformationen zu stehlen und finanzielle Gewinne zu erzielen. Nach eigenen Angaben verfolgt die „Unit 42“ des Malware-Analyseteams von Palo Alto Networks die Malware-Kampagne „KRBanker“, auch bekannt als „Blackmoon“. Den Forschern von sei es nun gelungen, Samples dieser Malware zu analysieren und weitere Informationen über deren Verbreitung zu gewinnen.

Wachsende Bedrohung im ersten Halbjahr 2016

Frühe Malware-Varianten dieser Kampagne seien bereits Ende September 2015 aufgetaucht. Die Anzahl der Infizierungsversuche durch „KRBanker“ sei bis Jahresende 2015 noch relativ gering gewesen, doch dann hätten die Malware-Forscher einen allmählichen Anstieg der Anzahl der Sessions seit Anfang 2016 verzeichnet.
Insgesamt hätten so in den letzten sechs Monaten fast 2.000 einzigartige Samples von „KRBanker“ und über 200 Pharming-Server-Adressen erfasst werden können. Die Analyse zeigt laut Palo Alto Networks, dass „KRBanker durch Web-Exploit-Kits und eine bösartige Adware-Kampagne verteilt wird. Das Exploit-Kit zur Installation von „KRBanker“ sei bekannt als „KaiXin“. Eine bösartige Adware zur Verbreitung dieses Exploit-Kits nenne sich „NEWSPOT“.

Aktivitäten in Südkorea beobachtet

Die Forscher hätten das „KaiXin“-Exploit-Kit bei Aktivitäten in Südkorea beobachtet. In diesen Fällen habe bösartiges „JavaScript“ durch manipulierte Websites oder Werbeanzeigen zu dem Exploit-Kit geführt, das die Schwachstellen „CVE-2014-0569“ oder „CVE-2015-3133“ in „Adobe Flash“ ausgenutzt habe. Die Nutzlast in beiden Fällen sei schließlich „KRBanker“ gewesen.
Der weitere Distributionskanal, die Adware „NEWSPOT“, werde damit beworben, 300 Prozent Umsatzwachstum für Web-Shopping-Sites zu generieren. Neben der Adware-Basisfunktion, Werbung in Browsern anzuzeigen, diene „NEWSPOT“ mindestens seit November 2015 auch dazu, Malware zu installieren. Beim Besuch diverser koreanischer Websites hätten die Benutzer ein Pop-up mit einem zur Installation von „NEWSPOT“ auffordernden Browser-Add-on bemerkt.

Umleitung auf gefälschte Bankenwebsites

Klassische Banking-Trojaner wie „Dridex“ oder „Vawtrak“ nutzten „Man-in-the-Browser“-Techniken, um Anmeldeinformationen der Opfer gezielt zu stehlen.
„KRBanker“ hingegen setze auf Pharming-Technik. Wenn ein kompromittierter Benutzer auf eine der von den Kriminellen ins Visier genommenen Bankenwebsites zuzugreifen versucht, werde der Verkehr auf eine gefälschte Website umgeleitet. Der falsche Banking-Server fordere die Besucher auf, ihre Anmeldeinformationen zu senden. Die gefälschte Website erscheine dabei wie ihr legitimes Pendant und werde mit einer gültigen URL in der Adressleiste des Browsers angezeigt. Ziel sei jedoch, die Zugangs- und Kontodaten der Opfer zu stehlen.

Finanzieller Gewinn als primäre Motivation für Angreifer

Die Akteure hinter „KRBanker“ hätten neue Vertriebskanäle erschlossen, Pharming-Techniken mehrfach weiterentwickelt und brächten täglich neue Varianten ins Spiel, um ihre Einnahmen auf Kosten der Opfer zu maximieren.
Die Bedrohung werde durch Exploit-Kits verteilt, die alte Schwachstellen und Adware nutzten, die manuell installiert werden müsse. Daher sei es generell wichtig, die Infektionsvektoren solcher Kampagnen zu verstehen, um deren Auswirkungen gezielt zu minimieren.