- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Ständige Weiterentwicklung: So aktiv ist DanaBot


In Europa greift ein sich stetig weiterentwickelnder Trojaner um sich
DanaBot wird fortwährend durch Plug-Ins in seiner Funktionalität und Bösartigkeit erweitert

- Anzeigen -





Seit kurzem stellt Eset einen deutlichen Anstieg der Aktivitäten des Banktrojaners DanaBot fest. Der Trojaner selbst wurde Anfang des Jahres in Australien und Polen entdeckt. Besonders gefährlich macht ihn seine modulare Architektur. Er setzt bei den meisten Funktionen auf Plugins. Die Schadsoftware mit der mehrstufigen und mehrkomponentigen Architektur wird vorrangig durch schädliche E-Mails verteilt. Diese geben sich zumeist als Rechnungen verschiedener Unternehmen aus.

Die Ergebnisse der von Eset durchgeführten Untersuchung zeigen, dass DanaBot immer noch aktiv genutzt und entwickelt wird, gerade in europäischen Ländern. Derzeit betroffen sind Deutschland, Österreich, Polen, Italien und die Ukraine. "Unseren Untersuchungen zufolge haben die Angreifer seit den früheren Kampagnen mehrere Änderungen an den DanaBot-Plugins vorgenommen", sagt Thomas Uhlemann, Security Specialist bei Eset. "Online-Banking Nutzer sollten darauf achten, mithilfe passender Antiviren-Software ausreichend geschützt zu sein, welche auch schädliche Dateinanhänge falscher E-Mails entfernen kann.

Im deutschsprachigen Raum waren vor allem Nutzer der Mailprovider Outlook.com und Gmail betroffen. Neben den Mail-Kampagnen zielte DanaBot in Deutschland vor allem auf folgende Bankwebseiten ab: bv-activebanking.de, commerzbank.de, sparda.de, comdirect.de, deutsche-bank.de, berliner-bank.de, norisbank.de, targobank.de. Eset-Systeme erkennen und blockieren alle bereits identifizierten DanaBot-Komponenten und Plugins.

Die die zuletzt eingeführten, neuen Funktionen zeigen, dass die Angreifer die modulare Architektur der Malware weiterhin nutzen. Ihre Reichweite und Erfolgsrate werden also immer noch erhöht. Neu hinzugekommen ist Anfang September 2018 ein RDP-Plugin. Es basiert auf dem Open-Source-Projekt RDPWrap, das Remote Desktop Protocol-Verbindungen zu Windows-Computern bereitstellt, die normalerweise nicht unterstützt werden.

Dies ist neben dem VNC-Plugin die zweite Erweiterung, die den Angreifern einen Fernzugriff auf die Rechner der Opfer ermöglicht. Es is einfach weniger wahrscheinlich, dass das RDP-Protokoll durch Firewalls blockiert wird. Außerdem ermöglicht RDPWrap mehreren Benutzern, dasselbe Gerät gleichzeitig zu benutzen. So kann der Angreifer Aufklärungsaktionen durchführen, während das ahnungslose Opfer den Computer noch benutzt. (Eset: ra)

eingetragen: 07.10.18
Newsletterlauf: 08.11.18

Eset: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Emotet: Allzweckwaffe des Cybercrime

    Die Emotet-Schadsoftware wird derzeit über gefälschte Amazon-Versandbestätigungen verteilt. G Data erklärt, was hinter der Malware steckt und warum sie so gefährlich ist. Emotet ist eine der langlebigsten und professionellsten Cybercrime-Kampagnen der vergangenen Jahre. Erstmals im Jahr 2014 als Banking-Trojaner entdeckt hat die Malware sich über die Jahre zu einer umfassenden Lösung für das Cybercrime entwickelt. Die Schadsoftware nimmt dabei in der Regel nur die Funktion des Türöffners ein, der dann weiteren Schadcode auf dem Rechner installiert. Aktuell wird Emotet über sehr gut gefälschte Amazon-E-Mails verteilt, die Nutzer zum Herunterladen eines Word-Dokuments nötigen wollen. Nach einem Klick auf den angeblichen Tracking-Link öffnet sich das Word-Dokument, das Nutzer auffordert, aktive Inhalte zuzulassen und dann die Infektion des PCs veranlasst.

  • Überwachungs- & Verfolgungsoperationen

    Im Dezember 2018 identifizierte FireEye APT39 als eine iranische Cyber-Spionagegruppe, die mit dem weitreichenden Diebstahl persönlicher Daten in Verbindung steht. Seit November 2014 hat FireEye Aktivitäten im Zusammenhang mit dieser Gruppe verfolgt, um Organisationen vor APT39 zu schützen. Mit ihrem Fokus auf personenbezogenen Daten unterscheidet sich APT39 von anderen iranischen Gruppen, die FireEye beobachtet und die mit Einflussoperationen, Störungsangriffen und anderen Bedrohungen in Verbindung stehen. Mit dem Fokus auf personenbezogene Daten soll APT39 wahrscheinlich Überwachungs- und Verfolgungsoperationen im nationalen Interesse des Irans unterstützen, oder zusätzliche Zugangsmöglichkeiten und -Vektoren für spätere Kampagnen vorbereiten.

  • Zukunft von unentdeckter Malware

    Malwarebytes veröffentlichte die Studie "Unter dem Radar - die Zukunft von unentdeckter Malware" und beleuchtet darin einige der neuesten Bedrohungen in diesem Bereich für Unternehmen: Emotet, TrickBot, Sobretec, SamSam und PowerShell. Widerstandsfähigkeit und Erkennungsvermeidung als neuer Fokus: Die stetige Weiterentwicklung von Cyberkriminalität ist eine Konstante in unserer heutigen digitalen Welt. Fast täglich gibt es Nachrichten von neuen Angriffsmethoden, einer neuen Angriffsstrategie oder einer Taktik, mit der Cyberkriminelle Benutzer infizieren, ihre Lebensgrundlage gefährden und oder ganz allgemein Chaos anrichten. Um ihren Profit zu steigern, wollen Cyberkriminellen Endpunkte zielgerichtet und vollständig besetzen. Sie haben das Ziel, Endpunkte unbemerkt zu infizieren, sowohl in dem Moment der ersten Gefährdung, als auch bei allen weiteren Versuchen, den Endpunkt zu besetzen.

  • Wesentlich effizientere DDoS-Bots

    Das Botnetz Mirai beschränkt sich nicht mehr länger auf ungesicherte IoT-Geräte. Das sind Erkenntnisse von Asert, ein Team aus Sicherheitsspezialisten des Unternehmens Netscout Arbor, ein Anbieter von Business Assurance-, Cybersicherheits- und Business-Intelligence-Lösungen.Kriminelle Betreiber der großen Botnetze haben die Malware von Mirai so angepasst, dass sie nun auch ungepatchte Linux-Server über die Schwachstelle Hadoop Yarn gefährden. Hadoop ist ein Framework von Apache, das Big Data-Anwendungen verarbeitet und speichert, die in geclusterten Systemen ausgeführt werden. Yarn ist für die Zuweisung von Systemressourcen und Planungsaufgaben verantwortlich.

  • Hacker gehen auf Butterfahrt

    GuardiCore hat eine Hacking-Kampagne aufgedeckt, bei der ein Remote-Access-Trojaner (RAT) mit DDoS-Funktion samt Krypto-Miner installiert werden. Die "Butter" genannte Schadsoftware agiert im Hintergrund und wird zur Verwischung ihrer Spuren als Linux-Kernel-Rootkit getarnt. GuardiCore entwickelt IT-Sicherheitstechnologien und erstellt mit einem weltweiten Forscherteam sicherheitsbezogene IT-Analysen, Rechercheberichte und Gegenmaßnahmen für aktuelle Bedrohungen.