Neue Angriffswelle: Trojaner Vawtrak greift Zugangsdaten für Online-Banking ab
Deutschland, Großbritannien, Tschechien und die USA am meisten betroffen
Vor einer neuen Angriffswelle des bereits 2013 aktiven Banking-Trojaners Vawtrak warnt AVG in ihrem Malware-Report. Vawtrak, auch unter den Namen Neverquest oder Snifula bekannt, hat es auf die Zugangsdaten für Online-Banking und andere Login-Daten abgesehen. Ist ein System infiziert, hat Vawtrak freien Zugriff auf alle Bankkonten, die auf dem PC geöffnet werden. Die Verbreitung des Trojaners ist in den vergangenen Monaten rapide angestiegen. Besonders Deutschland, Großbritannien, Tschechien und die USA sind stark betroffen. Im Sommer 2013 hatte der Trojaner weltweit Tausende PCs infiziert und für großen Schaden gesorgt.
Vawtrak kann eine Vielzahl von Funktionen auf dem infizierten PC ausführen. Neben dem Diebstahl verschiedener Passwortarten, die der Nutzer lokal gespeichert hat oder online nutzt, kann der Trojaner zudem einen benutzerdefinierten Code in eine Website einfügen, die das Nutzerkonto anzeigt, um so direkt ins Online-Banking einzugreifen. Dies führte bereits 2013 dazu, dass die Täter mit Hilfe des Trojaners sogar mit dem Geld der Opfer an der Börse spekulieren konnten. Zusätzlich können die Täter alle Aktionen auf dem infizierten PC überwachen, Entschlüsselungscodes abgreifen, Screenshots erstellen oder Videos mitschneiden. Via Virtual Network Computing (VNC) oder dem SOCKS-Protokoll greifen die Täter mit einen remoten Zugang auf den PC auf die infizierten Rechner zu.
Verbreitungswege
Der neue Vawtrak Trojaner verbreitet sich über folgende drei Wege:
>> Drive-by-Download: Unbewusstes und unbeabsichtigtes Herunterladen von Malware auf den Rechner, beispielsweise über einen Link in einer Spam-E-Mail oder einen entsprechenden E-Mail Anhang
>> Malware-Downloaders: Malware wie Zemot oder Chaintor laden weitere infizierte Software herunter, sobald sie installiert ist.
>> Exploit Kits: Hacking-Tools wie Angler suchen nach Java- und Flash Player-Schwachstellen und nutzen diese, um Malware-Infizierungen weiter zu verbreiten.
(AVG: ra)
AVG Technologies: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Meldungen: Aktuelle Meldungen
Eine Forschungsgruppe mit NetScout, Akamai, Cloudflare, Shadowserver, Black Lotus und anderen führenden IT-Sicherheitsgruppen hat gemeinsam einen Warnhinweis herausgegeben. Darin wird ein neuer DDoS-Vektor aufgedeckt, der Unternehmen im Finanzsektor, ISPs, Logistik, Glücksspiel und andere betrifft.
Die Sicherheitsforscher von Check Point Research (CPR) haben eine laufende Spionage-Operation aufgedeckt, die auf die afghanische Regierung zielt. Die Bedrohungsakteure, die einer chinesischsprachigen Gruppierung zugeordnet werden, gaben sich als das Büro des afghanischen Präsidenten aus, um den afghanischen Nationalen Sicherheitsrat (NSC) zu infiltrieren. Sie nutzten den Dienstleister für Datenaustausch namens Dropbox, um ihre Aktivitäten zu verschleiern. CPR geht davon aus, dass dies der jüngste Fall einer länger andauernden Operation ist, die bis ins Jahr 2014 zurückreicht und der auch die Regierungen von Kirgisistan und Usbekistan zum Opfer gefallen sind. Im April 2021 erhielt ein Beamter des Nationalen Sicherheitsrats Afghanistans eine E-Mail, die angeblich vom Büro des Präsidenten von Afghanistan stammte. Sie forderte den Empfänger auf, die Änderungen in dem Dokument im Zusammenhang mit einer bevorstehenden Pressekonferenz des NSC zu überprüfen.
Es gibt wieder verstärkt Aktivitäten der Dridex-Malware. Diese bereits einige Jahre alte Schadsoftware macht zurzeit in Excel-Dateien die Runde, die per Mail verschickt werden. Dabei hat der Schädling es vor allem auf Passwörter und andere Nutzerdaten abgesehen. "Wenn das Wochenende vor der Tür steht, lässt bei vielen Nutzern die Wachsamkeit deutlich nach. Das machen sich Kriminelle zunutze", sagt Tim Berghoff, Security Evangelist bei G Data CyberDefense. Die Schadsoftware mit dem Namen "Dridex" ist für G Data kein unbeschriebenes Blatt – bereits 2015 haben wir über diese Malware berichtet. Wie damals versteckt sich das Schadprogramm auch in diesem Fall in einer Office-Datei, getarnt als Versandbestätigung. Heruntergeladen wird die eigentliche Malware über ein eingebettetes Makro, welches sich hinter der "Drucken"-Funktion verbirgt.
Die Sicherheitsforscher von Check Point Software Technologies beobachten die Rückkehr eines alten Bekannten: des Backdoor-Trojaners Bandook. Zuletzt prominent wurde dieser durch die Malware-Kampagnen Operation Manul (2015) und Dark Caracal (2017). Nun scheint die Malware-Familie ein Revival zu feiern. Die Ziele, welche Check Point im Rahmen der neuen Kampagne identifizieren konnte, sind breit gefächert: Regierungs-, Finanz-, Energie-, Lebensmittel-, Gesundheits-, Bildungs-, IT- und Rechtseinrichtungen sind betroffen – unter anderem in Deutschland, der Schweiz und Italien. Dieses breite Spektrum lässt die Sicherheitsexperten darauf schließen, dass sich hinter den Angriffen nicht nur eine Hacker-Gruppierung im Alleingang verbirgt, sondern eine Organisation, welche Malware an verschiedene Bedrohungsakteure, wie staatliche Hacker, verkauft.