Neue Erkenntnissen zu Banking-Malware KRBanker Neue Erkenntnissen zu Banking-Malware KRBanker - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


09.05.2016 Rudolf Felser

Neue Erkenntnissen zu Banking-Malware KRBanker

Anders als "klassische" Banking-Trojaner wie Dridex oder Vawtrak nimmt KRBanker Angriffsziele mittels Adware und Exploit-Kits ins Visier.

Neue Verbreitungswege für Banking-Malware

Neue Verbreitungswege für Banking-Malware

© CC0 Public Domain - pixabay.com

Angriffe auf's Online-Banking sind bei Kriminellen beliebt, weil potenziell äußerst lukrativ. Kein Wunder also, dass die Anzahl der Angriffe weiter zunimmt. Umso wichtiger ist es, zu verstehen wie die Täter vorgehen. Unit 42, das Malware-Analyseteam von Palo Alto Networks, verfolgt die Malwarekampagne "KRBanker", auch bekannt als "Blackmoon". Den Forschern ist es nun gelungen, Samples dieser Malware zu analysieren und weitere Informationen über deren Verbreitung zu gewinnen.

Frühe Malwarevarianten dieser Kampagne tauchten den Angaben zufolge bereits Ende September 2015 auf. Die Anzahl der Infizierungsversuche durch KRBanker bis Jahresende 2015 war noch relativ gering, doch dann verzeichneten die Malwareforscher einen allmählichen Anstieg der Anzahl der Sessions seit Anfang 2016. Insgesamt konnten so in den letzten sechs Monaten fast 2.000 einzigartige Samples von KRBanker und über 200 Pharming-Server-Adressen erfasst werden. Die Analyse von Palo Alto Networks zeigt, dass KRBanker durch Web Exploit-Kits und eine bösartige Adware-Kampagne verteilt wird. Das Exploit-Kit, das für die Installation von KRBanker herangezogen wird, ist bekannt als KaiXin. Eine bösartige Adware, die zur Verbreitung des Exploit-Kits eingesetzt wird, nennt sich NEWSPOT.

IN SÜDKOREA BEOBACHTET

Die Forscher haben das KaiXin-Exploit-Kit bei Aktivitäten in Südkorea beobachtet. In diesen Fällen führte bösartiger JavaScript-Code durch manipulierte Websites oder Werbeanzeigen zu dem Exploit-Kit, das die Schwachstellen CVE-2014-0569 oder CVE-2015-3133 in Adobe Flash ausnutzte. Die Nutzlast des Exploits in beiden Fällen war schließlich KRBanker. Der weitere Distributionskanal, die Adware NEWSPOT, wird damit beworben, 300 Prozent Umsatzwachstum für Online-Shopping-Sites zu generieren. Neben der Adware-Basisfunktion, Werbung in Browsern anzuzeigen, dient NEWSPOT mindestens seit November 2015 auch dazu, Malware zu installieren. Beim Besuch diverser koreanischer Websites, bemerkten die Benutzer ein Pop-up mit einem Browser-Add-on, das sie zur Installation von NEWSPOT auffordert.

"Klassische" Banking-Trojaner wie Dridex oder Vawtrak nutzen Man-in-the-Browser(MITB)-Techniken, um Anmeldeinformationen der Opfer gezielt zu stehlen. KRBanker hingegen setzt auf Pharming-Technik. Wenn ein kompromittierter Benutzer auf eine der Bankenwebsites, die von den Kriminellen ins Visier genommen wurden, zuzugreifen versucht, wird der Verkehr auf eine gefälschte Website umgeleitet. Der falsche Banking-Server fordert die Besucher auf, ihre Anmeldeinformationen zu senden. Die gefälschte Website erscheint dabei wie ihr legitimes Pendant und wird mit einer gültigen URL in der Adressleiste des Browsers angezeigt. Ziel ist jedoch, die Zugangs- und Kontodaten der Opfer zu stehlen.

Finanzieller Gewinn ist die primäre Motivation für Angreifer, die Banking-Trojaner nutzen. Die Akteure, die hinter KRBanker stecken, haben neue Vertriebskanäle erschlossen, Pharming-Techniken mehrfach weiterentwickelt und bringen täglich neue Varianten ins Spiel, um ihre Einnahmen auf Kosten der Opfer zu maximieren. Die Bedrohung wird verteilt durch Exploit-Kits, die alte Schwachstellen und Adware nutzen, die manuell installiert werden muss. Daher ist es generell wichtig, die Infektionsvektoren solcher Kampagnen zu verstehen, um deren Auswirkungen gezielt zu minimieren. (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • EASY SOFTWARE GmbH

    EASY SOFTWARE GmbH Schrifterkennung, Mobile Lösungen und Applikationen, Management Informationssysteme (MIS), Dokumentenmanagement und ECM, Business Intelligence und Knowledge Management mehr
  • eyepin GmbH

    eyepin GmbH Application Service Providing, Auftragsentwicklung für Software, Individual-Softwareentwicklung, Programmierung, Übernahme von Softwareprojekten mehr

Hosted by:    Security Monitoring by: