Der User sieht diese Transaktionen nicht, und zusätzlich werden ihm falsche Kontostände angezeigt.
Gleichzeitig versucht der Trojaner auch, die automatischen «Fraud Detection»-Systeme der Banken, mit denen diese, verdächtige Transaktionen identifizieren, auszuhebeln. Diese Systeme reagieren auf ungewöhliche Transaktionen. «URLzone» errechnet nun aufgrund des Kontostandes, wie viel Geld er wahrscheinlich abheben und verschieben kann, ohne einen Alarm auszulösen.
Bank-Trojaner der nächsten Generation
«Es handelt sich um einen Bank-Trojaner der nächsten Generation. Das ist Teil des neuen Trends, immer fortschrittlichere Malware zu programmieren, die für das Austricksen von Sicherheitssystemen optimiert ist», sagt dazu Ben Itzhak von Finjan. Auch der Sicherheitsexperte Toralv Dirro von McAfee stimmt ihm zu. «Der Trend geht eindeutig hin zu aufwendigeren Trojanern. Kriminelle Gruppen entwickeln das ganz gezielt weiter, heute arbeitet eine ganze Reihe von Trojanern so wie der Beschriebene. Man kann das als eine Art Wettrüsten zwischen den Cyberkriminellen, Banken und der Sicherheitsindustrie interpretieren», sagt er im ‹pressetext›-Gespräch.
300’000 Euro erbeutet
Zielgruppe des Trojaners waren die Kunden einiger deutscher Banken, die man von seiten Finjans nicht nennen wollte. Insgesamt wurden mithilfe des Trojaners rund 300’000 Euro erbeutet. «Das halte ich noch für relativ wenig Beute, was wahrscheinlich an der relativ geringen Zahl der Infektionen lag. Normalerweise werden aber auch keine Informationen über die Höhe des finanziellen Schadens bekannt gegeben», so Dirro. Die Server, von der die Malware gesteuert wurde, konnten in der Ukraine lokalisiert werden. «Das läuft über sogenannte Bulletproof-Hoster. Die gibt es weltweit. Sie sind teurer als andere Hoster und lassen ihre Kunden dafür hosten, was sie wollen. Sie behaupten, der Inhalt der Server sei Sache der Kunden und gehe sie nichts an», sagt der Experte. Die deutschen Behörden sind informiert.
Kommandoserver nicht ausreichend gesichert
Die Finjan-Mitarbeiter schafften es, die Kommunikation des Trojaners auf einem infizierten System abzuhören und auf diese Art den Kommandoserver aufzuspüren. Diesen hatten die Cyberkriminellen unvorsichtigerweise nicht ausreichend gesichert, wodurch die Security-Experten allerlei Daten über den Trojaner beschaffen konnten, darunter auch Statistiken zu den Infektionen. Insgesamt sollen rund 90’000 Computer die Seiten, auf denen der Schädling gehostet war, besucht haben. Davon infizierten sich 6400 mit der Malware – eine Erfolgsquote von 7,5 Prozent. Von ein paar hundert der infizierten Computer wurde tatsächlich Geld gestohlen, insgesamt etwa 300’000 Euro. Nach 22 Tagen verschwand der Trojaner Ende August wieder – offenbar hatten die Cyberkriminellen bemerkt, dass man ihnen auf der Spur war.
Zwei Infektions-Methoden
Infiziert wurden die Computer mit zwei verschiedene Methoden. Zum einen erhielten Opfer E-Mails, in denen Links enthalten waren, die sie auf eine zur Verbreitung des Trojaners erstellte Website lotsten. Die zweite Möglichkeit, sich den Trojaner einzufangen, war der Besuch von durch die Malware unterwanderten Internetseiten. Für beide Infektionswege nutzte der Schädling eine bekannte Sicherheitslücke in gängigen Internetbrowsern aus. (inside-it/mc)
