- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Doctor Web erforscht neuen Bankentrojaner


Der Bankentrojaner Trojan.PWS.Sphinx.2 bettet sich beim Booten in den Prozess explorer.exe ein und entschlüsselt einen Konfigurationsblock
Trojan.PWS.Sphinx.2 lädt zudem eine Reihe von Tools zur Installation eines digitalen Zertifikats herunter und speichert diese auf dem infizierten PC

- Anzeigen -





Ein neuer Bankentrojaner bedroht Nutzer von Microsoft Windows. Die Virenanalysten von Doctor Web erforschen den Schädling bereits. Bankentrojaner versuchen das Geld von den Konten der Kreditinstitute zu klauen und stellen somit für Banken und Kunden gleichermaßen eine Gefahr dar. Der neue Schädling basiert auf dem Quellcode des Trojaners Zeus (Trojan.PWS.Panda) und nennt sich Trojan.PWS.Sphinx.2. Dieser führt Web-Injects aus, indem er fremde Inhalte (u.a. gefälschte Formulare mit Benutzernamen und Passwort) in Webseiten einbettet und geklaute Daten an Cyber-Kriminelle weiterleitet. Da die URL in der Adresszeile des Browsers und das Websitelayout dem Original sehr ähnlich sind, geschieht dies unbemerkt für die Opfer. Die Malware kann so das Geld der Kunden aus mehreren Banken entwenden.

Wenn der Benutzer eine Webseite aufruft, die in der Konfiguration des Trojaners enthalten ist, werden fremde Inhalte in die Webseite eingebaut. Ein Beispiel dafür liefert Trojan.PWS.Sphinx.2, der auf bankofamerica.com fremde Inhalte unterschiebt:

So funktioniert der Bankentrojaner
Trojan.PWS.Sphinx.2 bettet sich beim Booten in den Prozess explorer.exe ein und entschlüsselt einen Konfigurationsblock. Auf diesem sind die Adresse des Verwaltungsservers und der Schlüssel für ein- und ausgehende Daten gespeichert. Trojan.PWS.Sphinx.2 verfügt dabei über eine Modul-Architektur: Der Trojaner lädt auf Anforderung der Cyber-Kriminellen zusätzliche Plug-ins herunter. Zwei Module sind zum Starten in 32- und 64-Bit-Versionen von Windows vorgesehen, zwei weitere zum Starten auf dem infizierten Rechner des VNC-Servers. Über diesen Server stellen die Cyber-Kriminellen dann eine Verbindung zum infizierten PC her.

Trojan.PWS.Sphinx.2 lädt zudem eine Reihe von Tools zur Installation eines digitalen Zertifikats herunter und speichert diese auf dem infizierten PC. Das Zertifikat wird von Cyber-Kriminellen für Angriffe nach der Man-in-the-Middle-Methode verwendet. Der Trojaner verfügt zudem über einen Grabber, der Daten des Benutzers abfängt und an einen Remote-Server der Cyber-Kriminellen weiterleitet.

Besonders interessant ist die Methode zum Starten des Trojaners auf dem infizierten Rechner: Dafür wird ein Szenario in der PHP-Sprache sowie ein Interpretator verwendet. Das Szenario wird durch eine Verbindung im Autostart-Verzeichnis ausgeführt. Alle Informationen werden verschlüsselt im Windows-Registry gespeichert, die Module in einer verschlüsselten Datei mit zufälliger Erweiterung. (Doctor Web: ra)

eingetragen: 14.03.17
Home & Newsletterlauf: 18.04.17


Doctor Web: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Als Flash-Player-App getarnt

    Die Experten von Kaspersky Lab haben eine neue Variante des mobilen Banking-Trojaners Svpeng entdeckt. Mittels Keylogger-Funktion greift der modifizierte Trojaner eingegebenen Text wie Banking-Zugangsdaten ab, indem die Zugangsdienste von Android missbraucht werden. Dadurch erlangt der Trojaner weitere Rechte und kann so die eigene Deinstallation verhindern. Selbst Geräte mit aktuellster Software schützen nicht vor dem Schädling. Zugangsdienste (Accessibility Services) sind Erweiterungen der Benutzeroberfläche, um Nutzer, die nicht mit dem Gerät interagieren können, zu unterstützen. Die im Juli 2017 von Kaspersky Lab entdeckte modifizierte Version von Svpeng ist in der Lage, diese Systemfunktion zu missbrauchen, um in andere Apps eingegebenen Text abzugreifen und sich selbst weitere Rechte zu verschaffen.

  • Geschäftsmodell Ransomware-as-a-Service

    Auf der Black Hat 2017 in Las Vegas hat Sophos gestern einen Report zum Thema "Ransomware-as-a-Service (RaaS): eine Analyse von Philadelphia" veröffentlicht. Autorin ist Dorka Palotay, eine Entwicklern zur Gefahrenanalyse in den SophosLabs in Budapest, Ungarn. Der Report beschäftigt sich eingehend mit den inneren Mechanismen eines Ransomware-Bausystems, das jeder für 400 US-Dollar kaufen kann. Einmal erworben, können die Kriminellen Computer kidnappen und Daten gegen Lösegeld zurückhalten.

  • Infektion über Filesharing-Seiten

    Mehr als eine halbe Million Nutzer sind von einer Malware-Kampagne betroffen, die infizierte Systeme zu einem Botnet hinzufügt. Die Malware ist komplex und extrem anpassungsfähig. So schaffte es "Stantinko", über fünf Jahre lang unentdeckt zu agieren und ein Botnet von mehr als 500.000 infizierten Systemen zu bilden. Das ist das Ergebnis einer umfassenden Untersuchung der europäischen Security-Software-Herstellerin Eset. Die meisten Betroffenen entdeckte Eset in Russland und in der Ukraine. Stantinko infiziert Systeme über Filesharing-Webseiten und lockt Nutzer mit kostenloser Software. Die Entwickler haben die Malware clever getarnt: Der Infektionsvektor installiert eine Reihe auffälliger Anwendungen, gleichzeitig wird das Schadprogramm unauffällig im Hintergrund installiert. Stantinko ist so komplex aufgebaut, dass die Malware nur schwer entdeckt werden kann.

  • Unfertige Spyware Rurktar aufgetaucht

    In den G Data Security Labs ist eine Spyware aufgetaucht, die ihren Ursprung scheinbar in Russland hat. Das lässt sich durch die internen Fehlermeldungen der Software zurückverfolgen. Ob hinter der Programmierung der Schadsoftware ganze Entwicklerteams oder eine einzelne Person stecken, ist indes noch unklar.

  • Mac-Version der Windows-Malware WERDLOD

    Forscher von Trend Micro haben die vor kurzem entdeckte Malware OSX_DOK eingehend analysiert. Dabei zeigte sich, dass der Trojaner ausschließlich Daten von Schweizer Nutzern abfängt, die er an ihrer IP-Adresse erkennt. OSX_DOK stellt die Mac-Version der Windows-Malware WERDLOD dar, die bereits 2014 in dem als "Operation Emmental" bekannten Angriff auf Schweizer Bankkunden verwendet wurde.