Aktuelles, Branche - geschrieben von dp am Montag, Mai 9, 2016 23:02 - noch keine Kommentare
KRBanker: Angriffe mittels Adware und Exploit-Kits
Palo Alto Networks veröffentlicht neue Erkenntnisse zu Banking-Malware
[datensicherheit.de, 09.05.2016] Online-Banking ist seit vielen Jahren ein bevorzugtes Ziel von Cyber-Kriminellen – und die Angriffe nehmen weiter zu. Die Verbrecher hinter diesen Kampagnen nähmen gezielt Online-Banking-Nutzer ins Visier, um ihre Anmeldeinformationen zu stehlen und finanzielle Gewinne zu erzielen. Nach eigenen Angaben verfolgt die „Unit 42“ des Malware-Analyseteams von Palo Alto Networks die Malware-Kampagne „KRBanker“, auch bekannt als „Blackmoon“. Den Forschern von sei es nun gelungen, Samples dieser Malware zu analysieren und weitere Informationen über deren Verbreitung zu gewinnen.
Wachsende Bedrohung im ersten Halbjahr 2016
Frühe Malware-Varianten dieser Kampagne seien bereits Ende September 2015 aufgetaucht. Die Anzahl der Infizierungsversuche durch „KRBanker“ sei bis Jahresende 2015 noch relativ gering gewesen, doch dann hätten die Malware-Forscher einen allmählichen Anstieg der Anzahl der Sessions seit Anfang 2016 verzeichnet.
Insgesamt hätten so in den letzten sechs Monaten fast 2.000 einzigartige Samples von „KRBanker“ und über 200 Pharming-Server-Adressen erfasst werden können. Die Analyse zeigt laut Palo Alto Networks, dass „KRBanker durch Web-Exploit-Kits und eine bösartige Adware-Kampagne verteilt wird. Das Exploit-Kit zur Installation von „KRBanker“ sei bekannt als „KaiXin“. Eine bösartige Adware zur Verbreitung dieses Exploit-Kits nenne sich „NEWSPOT“.
Aktivitäten in Südkorea beobachtet
Die Forscher hätten das „KaiXin“-Exploit-Kit bei Aktivitäten in Südkorea beobachtet. In diesen Fällen habe bösartiges „JavaScript“ durch manipulierte Websites oder Werbeanzeigen zu dem Exploit-Kit geführt, das die Schwachstellen „CVE-2014-0569“ oder „CVE-2015-3133“ in „Adobe Flash“ ausgenutzt habe. Die Nutzlast in beiden Fällen sei schließlich „KRBanker“ gewesen.
Der weitere Distributionskanal, die Adware „NEWSPOT“, werde damit beworben, 300 Prozent Umsatzwachstum für Web-Shopping-Sites zu generieren. Neben der Adware-Basisfunktion, Werbung in Browsern anzuzeigen, diene „NEWSPOT“ mindestens seit November 2015 auch dazu, Malware zu installieren. Beim Besuch diverser koreanischer Websites hätten die Benutzer ein Pop-up mit einem zur Installation von „NEWSPOT“ auffordernden Browser-Add-on bemerkt.
Umleitung auf gefälschte Bankenwebsites
Klassische Banking-Trojaner wie „Dridex“ oder „Vawtrak“ nutzten „Man-in-the-Browser“-Techniken, um Anmeldeinformationen der Opfer gezielt zu stehlen.
„KRBanker“ hingegen setze auf Pharming-Technik. Wenn ein kompromittierter Benutzer auf eine der von den Kriminellen ins Visier genommenen Bankenwebsites zuzugreifen versucht, werde der Verkehr auf eine gefälschte Website umgeleitet. Der falsche Banking-Server fordere die Besucher auf, ihre Anmeldeinformationen zu senden. Die gefälschte Website erscheine dabei wie ihr legitimes Pendant und werde mit einer gültigen URL in der Adressleiste des Browsers angezeigt. Ziel sei jedoch, die Zugangs- und Kontodaten der Opfer zu stehlen.
Finanzieller Gewinn als primäre Motivation für Angreifer
Die Akteure hinter „KRBanker“ hätten neue Vertriebskanäle erschlossen, Pharming-Techniken mehrfach weiterentwickelt und brächten täglich neue Varianten ins Spiel, um ihre Einnahmen auf Kosten der Opfer zu maximieren.
Die Bedrohung werde durch Exploit-Kits verteilt, die alte Schwachstellen und Adware nutzten, die manuell installiert werden müsse. Daher sei es generell wichtig, die Infektionsvektoren solcher Kampagnen zu verstehen, um deren Auswirkungen gezielt zu minimieren.
Aktuelles, Experten - Apr 22, 2024 13:20 - noch keine Kommentare
Bundesdatenschutzgesetz: DSK-Stellungnahme zum Gesetzentwurf zur Änderung veröffentlicht
weitere Beiträge in Experten
- Digitalministerkonferenz: Digitalverband Bitkom benennt Herausforderungen an die neue Institution
- Digitalministerkonferenz sollte Schnellboot der Digitalisierung in Deutschland sein
- World Cybercrime Index: Identifizierung globaler Brennpunkte der Cyber-Kriminalität
- TÜV-Verband: Digitalministerkonferenz wichtiger, aber überfälliger Schritt zur Koordinierung der Digitalisierungsbestrebungen
- Cyber-Versicherungen: it’s.BB lädt zu Online-Seminar am 24. April 2024
Aktuelles, Branche, Studien - Apr 22, 2024 13:09 - noch keine Kommentare
KEEPER: 5 Sicherheitsmaßnahmen, um Cyber-Bedrohungen während der Urlaubszeit zu minimieren
weitere Beiträge in Branche
- StrelaStealer: Neue Kampagne greift Unternehmen in der EU und den USA an
- NIS-2: Die Bedeutung der Richtlinie für die Lieferkette
- Mittels internem Marketing Verständnis für IT-Sicherheitsmaßnahmen schaffen
- RUBYCARP: Sysdig Threat Research Team deckt rumänische Botnet-Operation auf
- NIS-2-Umsetzung: Bernhard Kretschmer warnt vor Chaos
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren