Laut dem aktuellen Finjan-Report "When Trojans go Phishing" stiehlt die Rootkit-ähnliche, mittels MPack auf die Opfersysteme geschleuste Malware-Spezies Bankdaten wie Nutzernamen, Passwort und Kreditkartennummern von Kunden mehrerer Geldinstitute weltweit, ohne dabei Spuren zu hinterlassen. Die ergatterten Informationen werden über einen sicheren Kommunikationskanal (SSL) an die Übeltäter geschickt, so dass laut Finjan weder infizierte Anwender noch das Gros der Sicherheitsprodukte etwas davon mitbekommen.
"Diese Art des Angriffs, der auf dem Opfer-PC selbst und zudem verschlüsselt erfolgt, ist äußerst schwer zu erkennen und damit gefährlicher als die bisherigen Formen von Phishing, die sich auf gefälschte Web-Sites stützten", erklärt Yuval Ben-Itzhak, Chief Technology Officer (CTO) bei Finjan. Nachdem der Anwender das Login-Formular auf der Site seines Finanzinstituts ausgefüllt hat und auf den "Log-In"-Button klickt, fängt die in dem befallenen System aktive Crimeware die Kommunikation ab und sendet User-ID und Passwort an den Server der Übeltäter. Die Site sieht aus wie die der Bank, wird jedoch von der Schadsoftware, die sich des Browsers bemächtigt hat, in Echtzeit rekonstruiert und über eine voreingerichtete SSL-Verbindung angezeigt. Dabei liefert die Schadsoftware für diverse Finanzinstitute ein passendes Set manipulierter Formulare und Seiten, um die für den Log-In bei dem jeweiligen Service benötigten Spezialinformationen wie "Lieblingswort" oder "Lieblingsfarbe" zu ergattern. Öffnet der Nutzer das "Secure"-Icon des Browsers, um die Validität der SSL-Verbindung zu überprüfen, wird das gültige Zertifikat der Bank angezeigt. Sobald das Opfer auf den Sign-on-Button klickt, werden die Daten erneut durch eine gesicherte Session im Hintergrund an den Server der Betrüger gesendet. Daraufhin wird die Originalreaktion der Bank auf die verwendeten Login-Daten gezeigt. Da der Transfer der Daten an die Phisher parallel und im Hintergrund erfolgt, kommt es zu keiner Verzögerung, die den Nutzer alarmieren könnte.
Ein weiteres Problem besteht laut Finjan darin, dass sich die Crimeware über legitime, via MPack-Toolkit infizierte Webseiten verbreitet. Deren Hauptseite wurde mit einem iFrame versehen, der zu Schadcode führt, so dass der Browser parallel zur Hauptseite auch gleich die Malware lädt (siehe Hacker kapern mehr als 10.000 Web-Seiten). Arglose Surfer, die eine zwar befallene, aber legitime und damit als sicher geltende Seite ansteuerten, seien der Crimeware demnach unwissentlich ausgesetzt, so der Report. Darüber hinaus nutzt die Schadsoftware Keylogger, um Zusatzinformationen an die Hosts der Angreifer zu senden. Hierzu verwendet sie eine verschlüsselte Datei mit Daten zu den jeweiligen Aktivitäten des Opfersystems. Eine detaillierte Analyse der neuen Crimeware ist auf der Webseite von Finjan per Download zu beziehen. (kf)
