Terdot: Wiederkehr eines Banking-Trojaners

Teil der heute als Open-Source-Software verfügbaren Malware-Familie

[datensicherheit.de, 17.11.2017] Ein neues Bitdefender-Whitepaper gibt Einblicke in Funktionen und Fähigkeiten des Banking-Trojaners „Terdot“, der ursprünglich auf Online-Banking und Zahlungsvorgänge abzielte. Nach aktuellen Erkenntnissen von Bitdefender feiert dieser nun ein Comeback als Instrument zum Diebstahl von Daten und Anmeldeinformationen.

Cyber-Kriminelle individualisieren und perfektionieren ihre Attacken

Ein aktuell veröffentlichtes Whitepaper von Bitdefender zeichnet nach eigenen Angaben detailliert nach, wie der Trojaner entstanden ist, wie er sich ausbreitet und tarnt, was er an Fähigkeiten heute besitzt und wie er sich noch entwickeln könnte.
Leser sollen mit der detaillierten technischen Analyse ein Musterbeispiel erhalten, wie Cyber-Kriminelle heute ihre Attacken individualisieren und perfektionieren.

Legitime Applikationen werden missbraucht

Seine Fähigkeiten gingen über den Primärzweck eines Banking-Trojaners weit hinaus: „Terdot“ kann unter anderem durch einen leistungsstarken „Man-in-the-Middle“-Proxy sensible Daten aus dem gesamten Internetverkehr eines Users filtern und weiterleiten.
Zudem sei es ihm möglich, Browser-Informationen wie Login-Daten und Kreditkarteninformationen zu stehlen und HTML-Code in besuchte Webseiten zu injizieren.
Er könne zudem den Datenverkehr auf zahlreichen Social-Media- und E-Mail-Plattformen modifizieren. Automatisierte Update-Fähigkeiten ermöglichten es ihm zudem, jedwede Art von Datei herunterzuladen und auszuführen, sobald der Angreifer dies will.
Schon die ersten Schritte einer „Terdot“-Attacke seien hochkomplex: Um die schädliche Payload zu schützen, nutze dieser eine Kette von Droppers, Injections und Downloaders, bevor er die eigentlichen „Terdot“-Dateien auf die Festplatte lädt. Interessant sei ebenfalls, dass „Terdot“ – genauso wie „Netrepser“ – lieber legitime Applikationen missbraucht, als selbstentwickelte Spezialtools zu verwenden.

Screenshot: Aktuelles Bitdefender-Whitepaper

Kostenloser Download: Details zum Trojaner „Terdot“

Im Fokus: E-Mail und Social Media

Die bekannten Beispiele von „Terdot“ zielten, neben einer Liste von Banking-Webseiten vor allem kanadischer Finanzinstitute, auf Informationen von E-Mail-Service-Providern ab, zum Beispiel Microsofts „live.com“, „Yahoo Mail“ und „Gmail“. Unter den Sozialen Netzwerken würden „facebook“, „twitter“, „Google Plus“ und „YouTube“ attackiert. Überraschenderweise sei diese Malware ausdrücklich so gestaltet, dass sie keine Daten von „vk.com“, dem größten russischen Sozialen Netzwerk, sammelt.

Erkennbar von der Malware „Zeus“ inspiriert

„Terdot“ sei erkennbar von der Malware „Zeus“ inspiriert worden, deren Quellcode im Jahr 2011 öffentlich wurde.
„Mirai, KINS, Carberp und Zeus gehören zu den Malware-Familien, die heute als Open-Source-Software verfügbar sind, entweder absichtlich oder wegen operativer Nachlässigkeit. In solchen Fällen wird Code hoher Qualität schnell von weniger begabten Kriminellen, die eine Abkürzung zum finanziellen Erfolg suchen, aufgenommen und integriert“, erläutert Eduard Budaca, „Antimalware Researcher“ bei Bitdefender und Autor des Whitepapers.

Weitere Informationen zum Thema:

Bitdefender
Whitepaper „Terdot: Zeus-based malware strikes back with a blast from the past“

datensicherheit.de, 23.10.2012
User weltweit betroffen: Bitdefender warnt vor „Malvertising“ in Yahoo Messenger