Ausgefuchste Pharming-Attacke gegen 50 Banken gestoppt

23.02.2007
Ein Angriff auf die Online-Kunden von wenigstens 50 Banken in den USA, Europa und Asia-Pacific ist gestoppt worden.

Die Attacke sei wegen des großen dabei betriebenen Aufwands bemerkenswert, erklärte Henry Gonzalez, Senior Security Researcher bei Websense: Für jedes Geldinstitut im Fadenkreuz hätten sich die Hacker die Mühe gemacht, eine Web-Seite nachzubauen.

Die Angreifer hätten versucht, Online-Banking-Nutzer auf diese manipulierte Seite zu locken. Dort wurde dann ohne weiteres Zutun ein Trojaner mit dem Namen "iexplorer.exe" auf ihren Rechner übertragen - vorausgesetzt, dieser war noch nicht gegen die seit geraumer Zeit bekannte Microsoft-Schwachstelle MS06-014 gepatcht.

Der Trojaner wiederum zeigte zunächst eine Fehlermeldung im Browser an und fordert zum Abschalten von Antivirus und Firewall auf. Dann lud er fünf weitere Dateien ("IEMod.dll", "IEGrabber.dll", "IEFaker.dll", "CertGrabber.dll", "PSGrabber.dll") von einem Server in Russland nach.

Besuchte man dann mit einem derart infizierten PC eine der Zielbanken, wurde man auf deren gefälschte Seite umgelenkt. Login und Passwort wurden abgegriffen und an den Kontrollrechner in Russland geschickt, danach erfolgte eine Weiterleitung an die korrekte Bank-Site, wo der Nutzer bereits eingeloggt war und der Angriff somit unbemerkt bleiben konnte.

"Das macht viel Arbeit, ist aber ganz schön clever", bescheinigt Gonzalez. "Der Job war gut gemacht." Die fünf Websites, auf denen der Trojaner gehostet war, befanden sich in Deutschland, Estland und Großbritannien. Alle wurden, ebenso wie die gefälschten Bank-Seiten, bis Donnerstagmorgen von den jeweiligen ISPs (Internet-Dienstleistern) abgeschaltet.

Wie viele Opfer der Angriff bis dahin gefunden hatte - er dauerte zuvor mindestens drei Tage lang - ist laut Websense unklar. Man habe nichts von Opfern gehört, die Geld von ihrem Konto verloren hätten, aber "die Leute machen es auch nicht publik, wenn so etwa passiert", so Gonzalez.

Auf den infizierten PCs wurde zu allem Überfluss auch noch ein Bot-Programm installiert, das dem Angreifer die Fernsteuerung des Systems ermöglicht. Mittels Reverse Engineering und anderer Techniken gelang es Websense, Screenshots des Bot-Controllers anzufertigen. Diese zeigen auch Infektionsstatistiken. Pro Tag wurden demnach wenigstens 1000 Rechner übernommen, die meisten davon in den USA und Australien. (tc)