- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Doctor Web erforscht neuen Bankentrojaner


Der Bankentrojaner Trojan.PWS.Sphinx.2 bettet sich beim Booten in den Prozess explorer.exe ein und entschlüsselt einen Konfigurationsblock
Trojan.PWS.Sphinx.2 lädt zudem eine Reihe von Tools zur Installation eines digitalen Zertifikats herunter und speichert diese auf dem infizierten PC

- Anzeigen -





Ein neuer Bankentrojaner bedroht Nutzer von Microsoft Windows. Die Virenanalysten von Doctor Web erforschen den Schädling bereits. Bankentrojaner versuchen das Geld von den Konten der Kreditinstitute zu klauen und stellen somit für Banken und Kunden gleichermaßen eine Gefahr dar. Der neue Schädling basiert auf dem Quellcode des Trojaners Zeus (Trojan.PWS.Panda) und nennt sich Trojan.PWS.Sphinx.2. Dieser führt Web-Injects aus, indem er fremde Inhalte (u.a. gefälschte Formulare mit Benutzernamen und Passwort) in Webseiten einbettet und geklaute Daten an Cyber-Kriminelle weiterleitet. Da die URL in der Adresszeile des Browsers und das Websitelayout dem Original sehr ähnlich sind, geschieht dies unbemerkt für die Opfer. Die Malware kann so das Geld der Kunden aus mehreren Banken entwenden.

Wenn der Benutzer eine Webseite aufruft, die in der Konfiguration des Trojaners enthalten ist, werden fremde Inhalte in die Webseite eingebaut. Ein Beispiel dafür liefert Trojan.PWS.Sphinx.2, der auf bankofamerica.com fremde Inhalte unterschiebt:

So funktioniert der Bankentrojaner
Trojan.PWS.Sphinx.2 bettet sich beim Booten in den Prozess explorer.exe ein und entschlüsselt einen Konfigurationsblock. Auf diesem sind die Adresse des Verwaltungsservers und der Schlüssel für ein- und ausgehende Daten gespeichert. Trojan.PWS.Sphinx.2 verfügt dabei über eine Modul-Architektur: Der Trojaner lädt auf Anforderung der Cyber-Kriminellen zusätzliche Plug-ins herunter. Zwei Module sind zum Starten in 32- und 64-Bit-Versionen von Windows vorgesehen, zwei weitere zum Starten auf dem infizierten Rechner des VNC-Servers. Über diesen Server stellen die Cyber-Kriminellen dann eine Verbindung zum infizierten PC her.

Trojan.PWS.Sphinx.2 lädt zudem eine Reihe von Tools zur Installation eines digitalen Zertifikats herunter und speichert diese auf dem infizierten PC. Das Zertifikat wird von Cyber-Kriminellen für Angriffe nach der Man-in-the-Middle-Methode verwendet. Der Trojaner verfügt zudem über einen Grabber, der Daten des Benutzers abfängt und an einen Remote-Server der Cyber-Kriminellen weiterleitet.

Besonders interessant ist die Methode zum Starten des Trojaners auf dem infizierten Rechner: Dafür wird ein Szenario in der PHP-Sprache sowie ein Interpretator verwendet. Das Szenario wird durch eine Verbindung im Autostart-Verzeichnis ausgeführt. Alle Informationen werden verschlüsselt im Windows-Registry gespeichert, die Module in einer verschlüsselten Datei mit zufälliger Erweiterung. (Doctor Web: ra)

eingetragen: 14.03.17
Home & Newsletterlauf: 18.04.17


Doctor Web: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Werbeanzeigen lösen Wi-Fi-Verbindungen aus

    Die Sicherheitsforscher von Check Point Software Technologies haben die neue Adware "LightsOut" in Google Play entdeckt. Die Malware wurde in 22 unterschiedlichen Flashlight- und Dienstprogramm-Anwendungen im offiziellen App-Store von Google gefunden. Dabei geht man von einer erreichten Verbreitung von 1,5 Millionen bis 7,5 Millionen Downloads aus. Ziel von LightsOut war die Generierung illegaler Werbeeinnahmen auf Kosten seiner ahnungslosen Opfer.

  • Zielrichtung E-Mail und Social Media

    Der Banking-Trojaner Terdot, der ursprünglich auf Online-Banking und Zahlungsvorgänge abzielte, feiert gerade Comeback als Instrument zum Diebstahl von Daten und Anmeldeinformationen. Ein aktuell veröffentlichtes Whitepaper von Bitdefender zeichnet detailliert nach, wie der Trojaner entstanden ist, wie er sich ausbreitet und tarnt, was er an Fähigkeiten heute besitzt und wie er sich noch entwickeln könnte. Leser erhalten mit der detaillierten technischen Analyse ein Musterbeispiel, wie Cyberkriminelle heute ihre Attacken individualisieren und perfektionieren. Seine Fähigkeiten gehen über den Primärzweck eines Banking-Trojaners weit hinaus: Terdot kann unter anderem durch einen leistungsstarken Man-in-the-Middle-Proxy sensible Daten aus dem gesamten Internetverkehr eines Users filtern und weiterleiten. Zudem ist es ihm möglich, Browser-Informationen wie Login-Daten und Kreditkarteninformationen zu stehlen und HTML-Code in besuchte Webseiten zu injizieren.

  • Selbstschutz und Zerstörung

    Die Experten von Kaspersky Lab haben mit ,Loapi' eine neue, multimodular aufgebaute mobile Malware entdeckt, die nahezu beliebig schädliche Aktionen ausführen kann - von nicht gewünschten Werbeeinblenden über SMS-Betrug bis hin zum Mining von Kryptowährungen und zur Durchführung von DDoS-Attacken (Distributed Denial-of-Service). Durch seine modulare Architektur kann der ungewöhnliche und mächtige Android-Trojaner auf einem kompromittierten Gerät um zahlreiche schädliche Funktionen nachgerüstet werden. Ein weiteres Merkmal unterscheidet ,Loapi' von der Masse üblicher Android-Malware: der Schädling kann ein mobiles Gerät durch eine zu hohe Auslastung physisch zerstören.

  • Riesiges neues Bot-Netz entdeckt

    Sicherheitsforscher haben ein riesiges neues Bot-Netz entdeckt, das auf den Namen Reaper oder auch "Io Troop" getauft wurde. Und das mit gutem Grund, denn es zielt vor allem auf schlecht gesicherte Geräte im Internet der Dinge ab und versucht aus ihnen eine Art Zombie-Armee zu machen. Das Ausmaß ist beachtlich und Forscher sprechen bereits von Größenordnungen, die potenziell das gesamte Internet lahmlegen könnten. Was die Zahlen anbelangt, wurde jüngst veröffentlicht, dass mehr als geschätzte 1 Million Unternehmen weltweit infiziert sind. Io Troop habe das Potenzial noch leistungsstärker zu sein als das bekannte Mirai-Botnet, einer der folgenschwersten Cyberangriffe überhaupt.

  • Hintergrund zum Mokes Backdoor

    Anfang Oktober 2017 wurde im Wall Street Journal ein Artikel mit dem Vorwurf veröffentlicht, dass über Software von Kaspersky Lab als vertraulich eingestufte Daten von einem privaten Rechner eines NSA-Mitarbeiters geladen wurden. Da sich Kaspersky Lab seit 20 Jahren an vorderster Front im Kampf gegen Cyberspionage und Cyberkriminalität sieht, wurden die Vorwürfe innerhalb des Unternehmens sehr ernst behandelt. Kaspersky Lab hat daher eine interne Untersuchung durchgeführt, um Fakten zu sammeln und jegliche Bedenken zu adressieren. Bereits am 25. Oktober 2017 wurden erste, vorläufige Ergebnisse der Untersuchung veröffentlicht - darunter allgemeine Erkenntnisse der unternehmensinternen Suche nach Beweisen für die in den Medien geäußerten Vorwürfe. Der veröffentlichte neue Bericht bestätigt die vorläufigen Ergebnisse und gibt zusätzliche Einblicke der telemetrischen Analyse des Vorfalls durch Kaspersky-Produkte. Demnach lassen sich auf dem betroffenen Rechner verdächtige Aktivitäten feststellen, und zwar im Zeitraum des Vorfalls im Jahr 2014.