Ausgeklügelte Malware aufgetaucht
Aggressiver Trickbot-Trojaner nimmt Banken ins Visier
Das X-Force-Security-Team von IBM hat mit Trickbot einen neuen aggressiven Trojaner identifiziert, der mit modernster Browser-Manipulationstechnik Banken attackiert. Nach ersten Angriffen auf britische Geldhäuser sind mittlerweile auch Geldinstitute in Deutschland in das Visier der Angreifer geraten.
Laut den Security-Forschern ist der Trickbot in der Lage, sich zwei der am weitesten fortgeschrittenen Browser-Manipulationstechniken zu bedienen: Serverside Injections und Redirection Attacks. Für die Sicherheitsexperten ist es bemerkenswert, dass der Trojaner von Beginn an über beide Fähigkeiten verfügt, während andere Trojaner-Varianten wie GozNym einen längeren Zeitraum für die Entwicklung derartiger Angriffsszenarien benötigten.
Die Sicherheitsexperten von IBM vermuten zudem, dass es sich bei Trickbot um einen Nachfolger des Banking-Trojaners Dyre handelt, der seit seinem Auftauchen im Jahr 2014 mehrere zehn Millionen Dollar erbeutet haben soll. Die Trickbot-Entwickler unterzogen offenbar den Code ihrer Malware seit August 2016 umfangreichen Tests und führten kontinuierlich Updates aus. In dieser Testphase attackierte die Malware vordergründig Geldinstitute in Australien sowie eine kanadische Bank und eine Regex-URL für eine digitale Banken-Plattform, die vor allem regionale Geldhäuser in den USA nutzen. Dass die Sicherheitsforscher in diesem Zeitraum auch einige Varianten des Trojaners mit einem Bug entdeckten, stützt ihre Annahme. Anfang November statteten die Trickbot-Entwickler den Trojaner laut dem X-Force-Security-Team mit zwei neuen Funktionen einer Finanz-Malware aus.
Für zielgerichtete Angriffe auf britische Geldhäuser bauten sie der Malware maßgeschneiderte Redirection Attacks ein. Bei dieser Methode schleusen die Angreifer bösartigen Code in die Original-Web-Seite ein. Das Opfer wird beim Besuch der Web-Page auf eine neue Seite umgeleitet, die der ursprünglichen Seite bis ins Detail nachempfunden ist. Zudem zeichnet der Browser bei dieser Variante eine SSL-Verbindung aus, die auf dem Zertifikat der Original-Seite basiert. Für das Opfer ist es dadurch schwierig zu erkennen, dass es sich um eine gefälschte Web-Seite handelt. Die Sicherheitsexperten gehen davon aus, dass diese Redirection-Angriffe im Voraus geplant oder von einer anderen Gruppe gekauft wurden, um sie anschließend für den Start der jüngsten Infektionskampagne zu verwenden.
Durch die Serverside Injenctions unterscheidet sich der Trojaner zudem von einem Großteil der üblichen Malware. In den häufigsten Fällen implementieren die Entwickler in ihren Schadprogrammen Injections, indem sie diese lokal auf dem System des Opfers einrichten. Dafür wird eine Konfigurationsdatei der Malware lokal gespeichert. Diese bestimmt genau, wann und wie die Malware die Inhalte der für den Angriff ausgewählten Banken-Web-Seite modifiziert. Die Serverside-Injection ist hingegen moderner und somit nicht so weit verbreitet, verfolgt jedoch das gleiche Ergebnis. Hier greift die Malware die Anweisungen für die Injection nicht vom lokalen System, sondern in Echtzeit von einem Server des Angreifers ab.
Für diesen Zweck schleust der Trickbot ein Browser-Modul ein, das die Kommunikation vom und zum Internet-Browser des Opfers abfängt. Durch dieses Vorgehen bleiben die bösartigen Code-Injections bis zu ihrem Einsatz sicher auf dem Server des Angreifers verborgen. Zudem kann der Angreifer die Web-Injections nach Belieben aktivieren, modifizieren oder ein Update an einige oder alle der infizierten Opfer-Systeme ausrollen.
Die IBM-Sicherheitsforscher gehen davon aus, dass die Trickbot-Entwickler in den letzten Monaten verschiedene Infektionswege für ihre Malware getestet haben. Die Sicherheitsexperten beobachteten, dass die Angreifer beispielsweise testeten, den Trojaner mit Malvertising, also über kompromittierter Online-Werbung, zu verbreiten. Weitere Infektionsträger, die die Sicherheitsexperten beobachteten, waren bösartige E-Mail-Anhänge, die suggerierten es handele sich um eine Fax-Nachricht. Auch entdeckten die Sicherheitsforscher mit dem Trojaner infizierte Office-Makros. Diese Variante erlangte zuletzt durch die Malware-Downloader Godzilla Loader Bekanntheit.
Die Sicherheitsforscher sind sich einig, dass es die Hintermänner des Trojaners in erster Linie auf Business-Accounts abgesehen haben. So sendeten die Angreifer beispielsweise mit Malware versehenden Spam gezielt an Unternehmen und Banken. Zudem geht das X-Force-Security-Team fest davon aus, dass sich die Infektionsmethoden des Trickbots durch weitere Updates der Entwickler zu jeder Zeit wieder ändern können. Die Sicherheitsforscher vermuten, dass die Hintermänner hinter der Malware bereits seit langer Zeit in der Bank-Trojaner-Szene unterwegs sind. Diese Betrugserfahrungen spiegeln sich ihrer Meinung nach gut in den versierten und modernen Funktionen der Malware wider. "Wir erwarten, dass der Trojaner seine Anti-Security- und Anti-Research-Techniken weiterentwickelt und künftig in weiteren Infektionskampagnen auftauchen wird", heißt es in dem Bericht des X-Force-Teams.
Weitere Informationen stehen unter www.securityintelligence.com zur Verfügung.
Lesen Sie mehr zum Thema
