Eine neue weltweite Spam-Kampagne zur Verbreitung des Banking-Trojaners Dyre greift aktuell auch Nutzer in Deutschland an. Unter anderem könnten Kunden der Deutschen Bank, Valovis Bank oder volkswagenbank.de betroffen sein. Das haben Malware-Analysten des Sicherheitsspezialisten Bitdefender herausgefunden.
Bei dem Trojaner handelt sich zwar um einen alten Bekannten, nämlich den Banking-Trojaner Dyreza – auch bekannt als Dyre –, der bereits im Februar dieses Jahres in einer groß angelegten Spam-Welle verteilt wurde. Dieses Mal jedoch wurde er in einer dreiteiligen Mail-Kampagne mit jeweils verschiedenen Inhalten versendet, um mehr Nutzer zum Anklicken zu motivieren und dadurch den Schaden zu vergrößern.
Am ersten Tag wurden tausende Anwender von der Spam-Mail eingeladen, ein Archiv mit einer schädlichen EXE-Datei herunterzuladen, die angeblich von einem Steuerberater stammt. Sie gab sich als Nachfass-Mail aus und bat die Nutzer, dringend das angehängte Archiv herunterzuladen und Informationen zur Vervollständigung einer Finanztransaktion einzutragen. Eine sehr ähnliche E-Mail wurde am nächsten Tag verschickt. Sie gab vor, Finanzunterlagen im Anhang zu besitzen, die der Nutzer verifizieren sollte. Die dritte E-Mail warnte dann den Empfänger vor Strafzahlungen für sein Unternehmen und forderte ihn auf, sich die „verwaltungsmäßige Festlegung“ anzusehen.
Die in allen Fällen mitgelieferte EXE-Datei ist jedoch in Wirklichkeit ein Downloader, der den Banking-Trojaner Dyre herunterlädt und ausführt. Diese Malware wurde zum ersten Mal im Jahr 2014 beobachtet und ist dem berüchtigten Zeus-Trojaner sehr ähnlich. Er installiert sich selbst auf dem Computer eines Nutzers und wird nur dann aktiv, wenn dieser seine Anmeldedaten auf bestimmten Websites eingibt. Meist handelt es sich dabei um die Anmeldeseite einer Bank oder eines Finanzdienstleisters. Bei dieser als „Man-in-the-Browser“ bekannten Angriffsform injizieren Hacker schädlichen JavaScript-Code, mit dessen Hilfe sie Anmeldedaten stehlen und zugehörige Benutzerkonten manipulieren – ohne entdeckt zu werden.
Den Malware-Forschern von Bitdefender ist es gelungen, die verschlüsselte Kommunikation des Trojaners mit dem C&C-Server zu umgehen und die Liste der angegriffenen Websites aufzudecken. Es handelt sich um Kunden von bekannten Banken und Finanzinstituten aus Deutschland, Frankreich, Großbritannien, Rumänien, USA und Australien. Ihnen könnten Anmeldedaten oder Geld von ihren Konten gestohlen worden sein. Laut den Bitdefender Labs wurden an drei Tagen 19.000 schädliche E-Mails über Spam-Server in den USA, Taiwan, Hongkong, Dänemark, Russland, China, Südkorea, Großbritannien, Australien und anderen Ländern verschickt.
Wichtige Hinweise
Mit jeder neuen Kampagne werden die Spam-Attacken für Dyre ähnlich wie bei anderen Varianten immer raffinierter. Die Opfer bemerken nur selten, was wirklich auf ihren Rechnern geschieht, da die Schaddateien sich immer besser verstecken und Sicherheitsmechanismen umgehen können. So lässt sich zum Beispiel Dyre nicht von Zwei-Faktor-Authentifizierung und verschlüsselter SSL-Kommunikation abschrecken.
Da die Banken nicht den Mail-Eingang ihrer Kunden kontrollieren können, liegt es in der Verantwortung der Anwender, trotz der ausgefeilten Angriffstaktik nicht auf die List hereinzufallen und das Archiv herunterzuladen oder gar zu öffnen. Bitdefender möchte Computernutzer daran erinnern, dass sie möglichst nicht auf Links in E-Mails von unbekannten Absendern klicken und natürlich ihren Virenschutz stets mit den neuesten Virendefinitionen aktualisieren sollten. So erkennt und blockiert die aktuelle Version der Sicherheitssoftware von Bitdefender auch diese Bedrohung.
Dieser Artikel basiert auf Spam-Beispielen, die mit freundlicher Genehmigung von Adrian MIRON, Spamforscher bei Bitdefender, zur Verfügung gestellt wurden, sowie auf technischen Informationen vom Bitdefender-Experten Alexandru MAXIMCIUC.
Weitere Artikel
Gesagt bekommen, umgesetzt: Verschlüsselte Verbindungen und versteckte IPs reichen nicht mehr aus
Datensicherheit bei der eGK – ein Versprechen bleibt auf der Strecke?
Bitdefender warnt vor Banking-Trojaner, der sich in harmlosen Fax-Nachrichten versteckt
Kostenloser Bitdefender Anti-CryptoWall schützt vor Erpresser-Software