Virenforscher schlagen Alarm

Neue Masche bei Banking-Trojanern

Martin Römhild aus München ist Experte für neue Medien, der in TV, Radio, Print und Online Verbraucher über aktuelle Gefahren und Trends informiert. Vor allem in den Bereichen Kinder- und Jugendschutz sowie Sicherheit im Internet hat er sich durch zahlreiche Interviews mit Prominenten einen Namen gemacht. Er ist Fachautor für etablierte Verlage, Radiosender und Fachmagazine.
Seit rund einem Jahr breitet sich die Malware „Dridex“ in Deutschland aus und hat inzwischen auch bei Unternehmen eine hohe Reichweite erzielt.

Der Computervirus "Dridex" ist momentan besonders in Deutschland aktiv. Experten zufolge sind hierzulande bereits sechs von zehn Computern in Unternehmen mit dem gefährlichen Trojaner infiziert. Und bald könnten es erheblich mehr sein, denn der Banking-Trojaner verbreitet sich über präparierte Word- oder PDF-Anhänge. Wird der Anhang geöffnet, installiert sich die Schadsoftware automatisch auf dem Computer sofern dieser mit dem Internet verbunden ist.

Der Trojaner Dridex nutzt Microsoft-Office Macros, um sich ins System zu schleichen.
Der Trojaner Dridex nutzt Microsoft-Office Macros, um sich ins System zu schleichen.
Foto: wk1003mike - shutterstock.com

"Das Besorgniserregende an Dridex ist, dass er erschreckend präzise arbeitet. Sobald der befallene Computer eine Banking-Seite öffnet, greift er in den Datenstrom ein und ändert die legitime Bankseite. Diese Änderungen sehen für den Nutzer so aus, als stammten sie von der Bank", erklärt Ralf Benzmüller, Leiter der G Data SecurityLabs. Das gefährliche an dem Banking-Trojaner: Er wird ständig weiterentwickelt und auf dem neuesten Stand gehalten. Die Methoden, mit denen die Malware per E-Mails an ihr Ziel gelangt, ändern sich kontinuierlich. Immer wieder werden neue, ausgefeiltere Kampagnen entwickelt, um die Angriffe noch effektiver zu machen.

Trojaner nutzt Makros von Microsoft-Office

Der Banking-Trojaner nutzte in jüngster Zeit für seine illegalen Raubzüge die Makro-Funktionen von Microsoft Office. Mit dieser integrierten Programmiersprache lassen sich normalerweise Funktionen von Word automatisieren. Die Word-Datei wird als Zwischenschritt eingefügt, um auf eine präparierte Webseite umzuleiten.

Laut einem Bericht von IBM nahm Dridex im letzten Jahr vor allem Online-Banking-Konten von Unternehmen ins Visier. Um möglichst schnell an viel Geld zu kommen, wurden große Geldbeträge auf verschiedene Offshore-Konten verlagert und von dort aus weiter überwiesen. Das besonders Tückische daran: Die Rückverfolgung der Transaktionen ist durch dieses Vorgehen häufig nicht mehr möglich, das Geld für immer verschwunden.

So können Unternehmen sich schützen

Zusätzlich zu bereits bestehenden Soft- oder Hardware-basierenden Schutzmaßnahmen sollten Mitarbeiter, deren Office-Versionen aus dem Jahr 2010 oder früher stammen, in den Sicherheitseinstellungen die Makro-Funktion deaktivieren und auch nur in bekannten Fällen aktivieren. Es ist auch sehr nützlich, wenn man die Ausführung von JavaScript in den PDF-Readern ausschaltet. In den meisten Produkten ist die entsprechende Seite, über die Tastenkombination STRG-H erreichbar.

Der oft standardmäßig genutzte Adobe Reader zeigt in der Regel zumindest einen Warnhinweis an. Nutzer werden dann aufgefordert, dem Öffnen des Inhaltes explizit zuzustimmen. Dieser Aufforderung sollte der Nutzer auf keinen Fall nachkommen. (bw)