Schwerte, 03. Februar 2015 – Eine groß angelegte Spam-Welle installiert den Banking-Trojaner Dyreza auf zehntausenden Computern, um an sensible Bankdaten von nichtsahnenden Nutzern zu gelangen
In den gefährlichen Spam-Nachrichten finden sich Links auf HTML-Dateien. In diesen Dateien sind URL-Links enthalten, die den Nutzer
auf geschickt verborgenen JavaScript-Code weiterleiten, der dann automatisch ein ZIP-Archiv von einem Remotespeicherort herunterlädt.
Interessanterweise hat jedes heruntergeladene Archiv einen neuen Namen, um Virenschutzlösungen zu umgehen. Dieses Verfahren wird als serverseitige Polymorphie bezeichnet und wird eingesetzt, um sicherzustellen, dass die heruntergeladene Schaddatei stets brandneu ist.
Doch damit ist der Schwindel noch nicht abgeschlossen. Der gleiche JavaScript-Code leitet den Nutzer sofort nach Download des Archivs zu der Länder-Website eines Fax-Anbieters weiter.
Die Inhalte des Archivs scheinen auf den ersten Blick PDF-Dateien zu sein. Tatsächlich handelt es sich dabei aber um ausführbare Dateien, denen ein PDF-Symbol hinzugefügt wurde. Sie dienen als Downloadprogramm, über das der Dyreza-Banking-Trojaner – auch bekannt als Dyre – abgerufen und ausgeführt wird.
Analyse der Dyre-Malware
Dyre wurde zum ersten Mal im Jahr 2014 beobachtet und ist dem berühmt-berüchtigte Zeus-Trojaner sehr ähnlich. Er installiert sich selbst auf dem Computer eines Nutzers und wird nur dann aktiv, wenn dieser seine Anmeldedaten auf bestimmten Websites eingibt, meist handelt es sich dabei um die Anmeldeseite einer Bank oder eines Finanzdienstleisters. Bei dieser als „Man-in-the-Browser“ bekannten Angriffsform injizieren Hacker schädlichen JavaScript-Code, der es ihnen erlaubt, Anmeldedaten zu stehlen und die zugehörigen Benutzerkonten zu manipulieren – ohne dabei entdeckt zu werden.
Und obwohl diese spezifische Bedrohung bekannt dafür ist, gegen Reverse-Engineering-Verfahren immun zu sein, ist es den Malware-Forschern von Bitdefender gelungen, sie zu analysieren und eine Liste der betroffenen Websites zu erstellen. Diese hat ergeben, dass Kunden renommierter Finanz- und Bankinstitutionen in den USA, Großbritannien, Irland, Deutschland, Australien, Rumänien und Italien in das Visier der Kriminellen geraten sind.
Kunden der Deutschen Bank, Axa Bank Europe, Bankhaus August Lenz, Dab Bank, Degussa Bank, Valovis Bank und HypoVereinsbank gehören unter Umständen zu den Opfern des Daten- und Gelddiebstahls. Auch Kunden der Bank of America Citibank, Wells Fargo, JP Morgan Chase und RBC Royal Bank (Kanada) könnten von dem Diebstahl betroffen sein. Banken wie NatWest, Barclays, Royal Bank of Scotland, HSBC, Lloyds Bank, Santander, Turkish Bank und Bank Leumi UK sind ins Visier der Hacker geraten.
Zwar handelt es sich hierbei um eine recht raffinierte Angriffsmethode, aber auch hier sind die Drahtzieher darauf angewiesen, dass der Nutzer aus Neugier das Archiv öffnet und seine Inhalte manuell ausführt. Lässt man die gebotene Vorsicht walten, reduziert sich also die Wahrscheinlichkeit einer Infektion. Hier einige Beispiele für die schädlichen Links, die sich im Umlauf befinden:
Laut den Bitdefender Labs wurden an nur einem Tag 30.000 schädliche E-Mails über Spam-Server in den USA, Russland, der Türkei, Frankreich, Kanada und Großbritannien verschickt. Ungewöhnlich ist, dass der Name der Kampagne – 2201us – auf das Angriffsdatum (22. Januar) und das Zielland (USA) hinzuweisen scheint, so die Ergebnisse der Bitdefender-Malware-Forscher.Bitdefender erkennt und blockiert alle Bestandteile der Bedrohung: die .js-Datei, das Downloadprogramm sowie die ausführbare Datei. Der Trojaner wird erkannt als Gen:Trojan.Heur.AuW@Izubv1ni. Bitdefender möchte Computernutzer daran erinnern, dass sie möglichst nicht auf Links in E-Mails von unbekannten Absendern klicken sollten und rät ihnen, ihren Virenschutz stets mit den neuesten Virendefinitionen zu aktualisieren.Dieser Artikel basiert auf Spam-Beispielen, die mit freundlicher Genehmigung von Adrian MIRON, Virenforscher bei Bitdefender, zur Verfügung gestellt wurden sowie auf technischen Informationen von den Bitdefender-Virenanalysten Doina COSOVAN, Octavian MINEA und Alexandru MAXIMCIUC.
Über Bitdefender®
Bitdefender ist Hersteller einer der weltweit schnellsten und effektivsten Produktserien für international zertifizierte Internet-Sicherheits-Software. Seit dem Jahr 2001 ist das Unternehmen immer wieder ein innovativer Wegbereiter der Branche, indem es preisgekrönte Schutzlösungen einführt und weiterentwickelt. Mittlerweile setzen weltweit rund 400 Millionen Privat- und Geschäftsanwender auf die Bitdefender-Technologie, um ihre digitale Welt sicherer zu machen. Bitdefender hat vor kurzem eine Reihe wichtiger Empfehlungen und Auszeichnungen in der globalen Sicherheitsindustrie erhalten. Dazu gehören “Produkt des Jahres 2012” von AV-Comparatives, “Beste Reparatur 2012” von AV-Test und “Editor’s Choice” des PC Mag. Diese Auszeichnungen bestätigen den Spitzenplatz der Software unter den Sicherheitslösungen. Weitere Informationen zu den Antivirenprodukten von Bitdefender sind im Bitdefender Security Center der Unternehmenswebseite im Pressecenter verfügbar.
Über Bitdefender HOTforSecurity®
Zusätzlich veröffentlicht Bitdefender das englischsprachige Blog „HOTforSecurity“, welches rund um die aktuelle Sicherheitslage weltweit informiert. Es bietet eine prickelnde Mischung aus nebulösen Computersicherheitsgeschichten und sachlich fundierten Stories, die die schmutzige Welt der Internetbetrügereien, Spams, Scams, Malware und des Klatsches sichtbar macht. Bitdefender pflegt auch eine deutsche HOTforSecurity-Version, die sich insbesondere auf die Nachrichtenlage im deutschsprachigen Raum (Deutschland, Österreich, Schweiz) konzentriert. Wollen Sie zu allen aktuellen Bedrohungen immer auf dem Laufenden sein, dann abonnieren Sie hier unseren Newsletter.
Pressekontakt:
Bitdefender
DV24, Building A
24 Delea Veche Street, Sector 2
Bukarest, 024102, Rumänien
Ansprechpartner:
Andrei Taflan
PR Coordinator
Tel.: +40 (0) 731 – 496 792
E-Mail: ataflan@bitdefender.com
Deutsche Niederlassung:
Bitdefender GmbH
TechnoPark Schwerte
Lohbachstrasse 12,
D – 58239 Schwerte
PR-Agentur:
Fink & Fuchs PR AG
Paul-Heyse-Str. 29
D-80336 München
Ansprechpartner:
Michaela Eichner
Tel.: +49 (0)89 – 589787-14
E-Mail: bitdefender@ffpr.de