Aktuelles, Branche - geschrieben von dp am Montag, Mai 9, 2016 23:02 - noch keine Kommentare
KRBanker: Angriffe mittels Adware und Exploit-Kits
Palo Alto Networks veröffentlicht neue Erkenntnisse zu Banking-Malware
[datensicherheit.de, 09.05.2016] Online-Banking ist seit vielen Jahren ein bevorzugtes Ziel von Cyber-Kriminellen – und die Angriffe nehmen weiter zu. Die Verbrecher hinter diesen Kampagnen nähmen gezielt Online-Banking-Nutzer ins Visier, um ihre Anmeldeinformationen zu stehlen und finanzielle Gewinne zu erzielen. Nach eigenen Angaben verfolgt die „Unit 42“ des Malware-Analyseteams von Palo Alto Networks die Malware-Kampagne „KRBanker“, auch bekannt als „Blackmoon“. Den Forschern von sei es nun gelungen, Samples dieser Malware zu analysieren und weitere Informationen über deren Verbreitung zu gewinnen.
Wachsende Bedrohung im ersten Halbjahr 2016
Frühe Malware-Varianten dieser Kampagne seien bereits Ende September 2015 aufgetaucht. Die Anzahl der Infizierungsversuche durch „KRBanker“ sei bis Jahresende 2015 noch relativ gering gewesen, doch dann hätten die Malware-Forscher einen allmählichen Anstieg der Anzahl der Sessions seit Anfang 2016 verzeichnet.
Insgesamt hätten so in den letzten sechs Monaten fast 2.000 einzigartige Samples von „KRBanker“ und über 200 Pharming-Server-Adressen erfasst werden können. Die Analyse zeigt laut Palo Alto Networks, dass „KRBanker durch Web-Exploit-Kits und eine bösartige Adware-Kampagne verteilt wird. Das Exploit-Kit zur Installation von „KRBanker“ sei bekannt als „KaiXin“. Eine bösartige Adware zur Verbreitung dieses Exploit-Kits nenne sich „NEWSPOT“.
Aktivitäten in Südkorea beobachtet
Die Forscher hätten das „KaiXin“-Exploit-Kit bei Aktivitäten in Südkorea beobachtet. In diesen Fällen habe bösartiges „JavaScript“ durch manipulierte Websites oder Werbeanzeigen zu dem Exploit-Kit geführt, das die Schwachstellen „CVE-2014-0569“ oder „CVE-2015-3133“ in „Adobe Flash“ ausgenutzt habe. Die Nutzlast in beiden Fällen sei schließlich „KRBanker“ gewesen.
Der weitere Distributionskanal, die Adware „NEWSPOT“, werde damit beworben, 300 Prozent Umsatzwachstum für Web-Shopping-Sites zu generieren. Neben der Adware-Basisfunktion, Werbung in Browsern anzuzeigen, diene „NEWSPOT“ mindestens seit November 2015 auch dazu, Malware zu installieren. Beim Besuch diverser koreanischer Websites hätten die Benutzer ein Pop-up mit einem zur Installation von „NEWSPOT“ auffordernden Browser-Add-on bemerkt.
Umleitung auf gefälschte Bankenwebsites
Klassische Banking-Trojaner wie „Dridex“ oder „Vawtrak“ nutzten „Man-in-the-Browser“-Techniken, um Anmeldeinformationen der Opfer gezielt zu stehlen.
„KRBanker“ hingegen setze auf Pharming-Technik. Wenn ein kompromittierter Benutzer auf eine der von den Kriminellen ins Visier genommenen Bankenwebsites zuzugreifen versucht, werde der Verkehr auf eine gefälschte Website umgeleitet. Der falsche Banking-Server fordere die Besucher auf, ihre Anmeldeinformationen zu senden. Die gefälschte Website erscheine dabei wie ihr legitimes Pendant und werde mit einer gültigen URL in der Adressleiste des Browsers angezeigt. Ziel sei jedoch, die Zugangs- und Kontodaten der Opfer zu stehlen.
Finanzieller Gewinn als primäre Motivation für Angreifer
Die Akteure hinter „KRBanker“ hätten neue Vertriebskanäle erschlossen, Pharming-Techniken mehrfach weiterentwickelt und brächten täglich neue Varianten ins Spiel, um ihre Einnahmen auf Kosten der Opfer zu maximieren.
Die Bedrohung werde durch Exploit-Kits verteilt, die alte Schwachstellen und Adware nutzten, die manuell installiert werden müsse. Daher sei es generell wichtig, die Infektionsvektoren solcher Kampagnen zu verstehen, um deren Auswirkungen gezielt zu minimieren.
Aktuelles, Experten - Sep. 4, 2025 1:12 - noch keine Kommentare
Versicherungsunternehmen: Zukunftsorientierung ohne Umwege mittels Agiler Standardisierung
weitere Beiträge in Experten
- Strompreis: Bitkom fordert Entlastung auch für TK-Netze und Rechenzentren
- Smartphone als Multifunktionsgerät: Wecker, Kamera, Navigationsgerät
- eco begrüßt BMDS-Eckpunkte zur geplanten TKG-Novelle
- ACSL in Karlsruhe: Neues KI-Institut erforscht Denkmaschinen
- Bundesnetzagentur als Digital Services Coordinator: eco fordert mehr personelle Ressourcen
Aktuelles, Branche, Produkte - Sep. 4, 2025 0:51 - noch keine Kommentare
eperi-Warnung vor dem Post-Quantum-Datenschutz-GAU
weitere Beiträge in Branche
- Stealerium: Proofpoint meldet Comeback einer Cyberbedrohung
- Unternehmen im Visier: hensec meldet Zunahme der Nachfrage nach Abhörschutztechnik
- Noch immer unterschätztes Cyberrisiko: Insider als Bedrohungsakteure
- facebook: Vorgetäuschte Kontosperrung als Phishing-Attacke
- Task Scams: Trend Micro warnt vor digitalem Job-Betrug
Aktuelles, Branche, Umfragen - Juli 9, 2025 19:03 - noch keine Kommentare
DigiCert-Umfrage: Manuelle Zertifikatsprozesse führen zu Ausfällen, Compliance-Fehlern und hohen Verlusten im Unternehmen
weitere Beiträge in Service
- Threat Hunting: Bedeutung und Wertschätzung steigt
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
Kommentieren