Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene
Redaktion: Heinz Schmitz
Cridex Banking-Trojaner auf dem Vormarsch
Die G Data SecurityLabs haben in den letzten Wochen eine breit angelegte Spam-Kampagne beobachtet, die vorrangig deutsche Internetnutzer ins Visier nimmt. In bisher zwei großen Wellen wurden die Namen von vier weltweit bekannten Unternehmen als Köder missbraucht, um Nutzer mit dem Banking-Trojaner Cridex zu infizieren. Die Angreifer tarnen ihre Attacken aktuell als Rechnungen von der Telekom, Vodafone oder NTTCable beziehungsweise als Sicherheits- und Überweisungshinweise der Volksbank. Die erste Welle wurde dabei vom 17.12.2013 bis zum 20.12.2013 beobachtet. Die zweite Welle begann am 6.1.2014 und ist nach wie vor aktiv, unterbrochen nur von dem zurückliegenden Wochenende – offenbar führen die Angreifer ihre Tätigkeit wie normale Arbeitnehmer aus. Allein seit Beginn dieser Woche (13.01.) hat G Data mehr als 1.100 neue Webseiten registriert, die den vier Kampagnen zuzuordnen sind. Dabei sind uns aktuell 6 verschiedene URL-Muster bekannt – zwei für die Telekom, zwei für die Volksbank und jeweils eine für die anderen beiden Unternehmen.
Die Statistiken der G Data SecurityLabs zeigen innerhalb dieser letzten Tage eine Konzentration auf die Telekom-Kampagne – etwas über 49% der erwähnten infizierten URLs gehörten dazu. Schädliche Webseiten aus Volksbank Lock-Mails waren mit über 28% vertreten und Rang drei belegt NTTCable mit knapp 12%.Alle vier Unternehmen sind populär und damit sehen viele Mail-Empfänger die Mails auch zunächst als vertrauenswürdig an. In den gut gemachten falschen Rechnungen und Hinweismails verbirgt sich jedoch ein Link zu einer schädlichen Webseite: Alphabetisch sortierte
Beispiele für Mail-Betreffs, inklusive der von den Angreifern gemachten Tipp- bzw. Rechtschreibfehler.
- Aktualisierung Ihrer Software
- Die Zuverlassigkeit Ihres Kontos ist nicht im Gefahr
- Ihr Online-Banking-Zugang bald ablauft
- Ihre Rechnung vom 14.01.2014 steht als PDF bereit: [18 Ziffern].
- Ihre Rechnung vom 15.01.2014 steht als PDF bereit: Nr[18 Ziffern].
- Ihre Telekom Mobilfunk Rechnung
- Online für Geschäftskunden [18 Ziffern] vom [Datum] des Kundenkontos [12 Ziffern]
- Information zu: Überweisung/Umbuchung #[18 Ziffern]
- System-Aktualisierung Telefonrechnung
- NTTCableTelefonrechnung
- NTTCable JanuarTelefonrechnung
- NTTCable Januar 2014
- Weitere Informationen zum Transaktions Volksbank: [12 Ziffern]
Klickt der Nutzer den Link an, bekommt er zunächst automatisch eine .zip-Datei auf seinen Rechner geladen. In diesen Archiven haben die Angreifer die Malware der Familie Cridex als ausführbare Datei abgelegt. Sobald der Nutzer die .exe-Datei öffnet, infiziert der Banking-Trojaner den PC.
Schädlinge dieser Familie sind unter anderem für folgende Funktionen bekannt:
- „Man-in-the-Browser“-Funktionalität, bei der der gesamte Datenverkehr mit Onlinebanking-Webseiten manipuliert wird. Angreifer erschleichen sich damit auf betrügerische Art und Weise Geld aus Überweisungen.
- Auf dem System einnisten (Registry-Einträge und Kopien der Schaddatei).
- Tastatureingaben mitschneiden (Keylogger), vor allem von Onlinebanking-Webseiten.
- Gesammelte Informationen über das Internet an Server senden.
- Weitere Schaddateien nachladen und auf dem infizierten Computer installieren.
Die Schaddateien sind nach aktuellen Erkenntnissen auf Servern in Rumänien, Russland, England und den USA hinterlegt. Die Angreifer hinterlegen immer wieder neue Varianten des Schädlings, um so möglichst eine flächendeckende Erkennung durch die AV-Produkte zu verhindern.
Die G Data BankGuard Detektionen für Cridex haben in den letzten Wochen einen neuen Höchststand erreicht. Der erstmals 2011 entdeckte Trojaner, der jedoch überhaupt erst seit April 2013 bedeutende Aktivität zeigt, hat in der jüngsten Vergangenheit sogar für mehr Aufsehen gesorgt als der etablierte Banking-Trojaner ZeuS mitsamt aller Klone wie Citadel und Gameover:
An diesem aktuellen Beispiel wird deutlich, dass Spam-Versand als initialer Angriffsvektor noch lange nicht aus der Mode gekommen ist. Die Angreifer haben sich viel Mühe gegeben, verschiedene Ausführungen der betrügerischen Mails zu generieren und diese dabei täuschend echt aussehen zu lassen. Nur wenige Fehler verraten, dass es sich um Fälschungen handelt. Mit einer ausgeklügelten Payload wie Cridex könnten die Cyber-Angreifer viel Beute auf unterschiedlichen Ebenen machen – zum Beispiel Überweisungen abgreifen, persönliche Daten stehlen und weiterverkaufen, neue Malware installieren, Spam versenden und mehr.