tom's networking guide
 
Anzeige
Papierlose Sitzungen >
< WLAN@LB für freien Internet-Zugang in Ludwigsburg
09.04.15 23:35 Alter: 5 Jahre
Kategorie: Heim-Anwender, Administratoren, KMU, SOHO, Internet-Intranet, Internetdienste, Mobile Generation, Sicherheit, Security, Anti-Phishing
Von: Nina Eichinger

Kaspersky: Bank-Trojaner Emotet nach wie vor aktiv

Der vollautomatisierte Schädling hebelt die Zwei-Faktor-Authentifizierung aus und zielt direkt auf Nutzer von Online-Banking im deutschsprachigen Bereich.


Der Banking-Trojaner verbreitet sich unter anderem durch derartige Spam-Mails.

Der Banking-Trojaner verbreitet sich unter anderem durch derartige Spam-Mails.

Moskau/lngolstadt – Kaspersky Lab warnt vor einer neuerlichen Welle des Banking-Trojaners "Emotet". Der Schädling hat explizit CHIP-TAN- und SMS-TAN-Nummern und das Geld von deutschsprachigen Bankkunden im Visier. Emotet wird über täuschend echt aussehende Spam-Mails verbreitet und bringt Anwender mittels Social-Engineering-Methoden dazu, sensible Bankdaten für eine angebliche Sicherheitsüberprüfung preiszugeben. Die abgefischten TAN-Nummern werden anschließend von den Cyberkriminellen für eine betrügerische Überweisung missbraucht. Die hochautomatisierte, modular aufgebaute und sich ständig weiter entwickelnde Cyberbedrohung ist speziell auf Kunden von Banken in Deutschland, Österreich und neuerdings in der Schweiz zugeschnitten, und treibt weiter ihr Unwesen.

Die erste Version von Emotet tauchte im Sommer 2014 auf, eine zweite im Herbst desselben Jahres. Die nun von Kaspersky Lab genauer analysierte dritte Version ist seit Februar 2015 aktiv und beinhaltet neben allen Funktionalitäten der Vorgängerversionen weitere Verbesserungen wie beispielsweise Pflegemaßnahmen im Code oder bessere Methoden der Tarnung.

"Der Schädling ist für Angriffe auf deutschsprachige Nutzer konzipiert. Bereits die ersten beiden Versionen hatten Nutzer von deutschen und österreichischen Banken im Visier. Mit der dritten Version werden nun die Vorbereitungen für den Angriff auf Schweizer Online-Banking-Nutzer getroffen. Denn: Obwohl die beim Social-Engineering-Trick genutzten Skripte für die Schweiz noch nicht final sind, gehen wir davon aus, dass dies demnächst geschieht. So werden auch Schweizer Bankkunden, deren System mit Emotet infiziert ist, Teil der Attacken", so Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab.

Verbreitung über Spam-E-Mails
Emotet verbreitet sich über  deutschsprachige und professionell aufgemachte Spam-E-Mails – die dabei genutzten Bilder werden sogar von Original-Webseiten einspielt. Nutzer infizieren sich, wenn sie einen kompromittierten E-Mail-Anhang öffnen, wobei hier die Datennamen des als ZIP gepackten Anhangs extra lang gewählt sind, damit die verräterische Endung „.exe“ bei vielen Nutzern in der Spalte des Windows Explorers nicht mehr auftaucht. Eine weitere Möglichkeit ist der Verweis via in der E-Mail angegebenem Link auf eine legitime, aber kompromittierte Webseite. Solche E-Mails mit schädlichen Links stammen scheinbar auch von anderen großen Unternehmen, etwa von der Deutschen Telekom AG oder DHL International GmbH, deren Erscheinungsbild perfekt gefälscht wurde [3].

Zwei-Faktor-Authentifizierung mittels Social Engineering außer Gefecht gesetzt
Emotet verfügt über diverse Vorlagen für deutsche und österreichische Banken. Wird über ein infiziertes System eine Bankseite aufgerufen, und entspricht die Bank den Emotet-Vorlagen, wird komplett automatisiert mithilfe eines Skripts eine Mitteilung im Browser beispielsweise mit folgendem Inhalt erzeugt: Wegen der Einführung eines neuen Sicherheitssystems habe der Nutzer nur beschränkten Zugriff auf sein Konto, solange bis er eine Testüberweisung durchgeführt hat. Fällt der Nutzer auf den Social-Engineering-Trick herein, erfolgt mit der abgefischten CHIP-TAN- oder SMS-TAN-Nummern – ebenfalls automatisiert – eine reale Überweisung auf die Konten der Cyberkriminellen.

Modularer Aufbau ermöglicht diverse Aktionen
Emotet ist modular aufgebaut. Zentraler Baustein ist ein sehr gut getarnter Loader, der sich über den oben geschilderten Verbreitungsweg in ein System einnistet und Kontakt zum Kontroll-Server (Command & Control-Server) hält. Wird der Loader auf einer virtuellen Maschine gestartet – was oft ein Zeichen dafür ist, dass ein Analyst dem Schädling auf der Spur ist –, versendet er seine  Kommandos an falsche IP-Adressen, die nicht mit dem eigentlichen Kontroll-Server verbunden sind. Ein Analyst könnte durch die ausbleibenden Antworten der Server von einer kalten Fährte ausgehen.
Das so genannte Banker-Modul zur Modifizierung von HTTP(S)-Verkehr ermöglicht die oben beschriebene Manipulation des Daten-Streams, also der Testüberweisungsanzeige im Browser. Das böswillige Banker-Modul wird nur dann aktiv, wenn die Anfrage mit der echten Seite einer Bank verbunden wird, deren Inhalt von Emotet durch lokal injizierten Code verändert wird.

Kaspersky Lab: Wie man sich schützt
Da der Trojaner stark auf den Faktor Social Engineering setzt, sollten Nutzer neben einer adäquaten IT-Sicherheitslösung – alle Produkte von Kaspersky Lab erkennen die Emotet-Varianten unter dem Namen Trojan-Banker.Win32.Emotet – besondere Vorsicht walten lassen, wenn es um veränderte Banking-Prozesse und die Eingabe von sensiblen Daten wie TAN-Nummern geht. Wer unsicher ist, sollte zur Sicherheit immer die Authentizität einer solchen Anfrage bei seiner Bank telefonisch prüfen.


Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
News

CeBIT 2018 - ein holpriger Neustartversuch

CeBIT Logo

"Die CEBIT 2018 wird ein Business-Festival für Innovation und Digitalisierung", sagte Oliver Frese...

[mehr]

Trend Micro trauert um Günter Untucht

Günter Untucht (Bild: Trend Micro)

Der europäische Chefjustiziar von Trend Micro, Günter Untucht, ist Ende Januar überraschend...

[mehr]

Corel VideoStudio Ultimate 2018 mit neuen Funktionen verfügbar

Corel Logo (Grafik: Logo)

Erste Wahl für anspruchsvolle Gelegenheitsanwender – diesen Anspruch erfüllt das...

[mehr]

Argus 2 - kabellose Überwachungskamera für Akku- und Solarbetrieb

Die Argus 2 ist für innen und außen geeignet. (Bild: Reolink)

Reolink stellt mit der Argus 2 seine neueste Kamera vor. Die innovative Überwachungskamera...

[mehr]

Meltdown und Spectre: MSI liefert BIOS-Updates für Z370-Mainboard

MSI Logo

Mit den Updates will MSI mögliche SIcherheitslücken im aktuellen Intel-Microcode schließén. Updates...

[mehr]

CES 2018: Acer lässt Gamer-Herzen höher schlagen

Acer Nitro 5 (Bild: Acer)

Ob für Gamer, Kreative oder Business-Nutzer - auf der CES in Las Vegas stellt Acer für jeden etwas...

[mehr]
Anzeige
Anzeige