Startseite > Security > Sechs von zehn deutschen Unternehmen offenbar von Banking-Trojaner Dridex betroffen

Untersuchungen von Fireeye decken schnelle Weiterentwicklungen von Phishing-Methoden auf

Sechs von zehn deutschen Unternehmen offenbar von Banking-Trojaner Dridex betroffen

22. Juni 2015, 8:07 Uhr | LANline/jos

Fireeye, Spezialist für den Schutz von Unternehmen vor bisher unbekannten Cyber-Angriffen, beobachtet nach eigenen Angaben seit über einem Jahr die Entwicklungen rund um die Malware "Dridex", die auch in Deutschland eine hohe Reichweite bei Unternehmen hat.

Die Dridex-Malware entstand, wie auch jeder andere Banking-Trojaner, um Informationen in Verbindung mit Banking-Websites zu sammeln. Laut einem Bericht von IBM nahm Dridex Online-Banking-Konten von Unternehmen ins Visier und erbeutete unbemerkt mehr als eine Million Dollar von Unternehmen, indem große Geldbeträge auf verschiedene Offshore-Konten und von dort weiter überwiesen wurden. Die Rückverfolgung der Transaktionen war durch dieses Vorgehen häufig nicht mehr möglich.

Dridex nutzt die folgenden drei Methoden, um an Banking-Zugangsdaten von Kunden ins Visier genommener Banken zu gelangen:

* Die Malware injiziert HTML-Code, um auf der Banking-Website zusätzliche Eingabefelder anzuzeigen. Der Nutzer soll dort seine Zugangsdaten für den Login eingeben.
* Sie leitet Nutzer um, um über einen Proxy-Server zu kommunizieren. Die Nutzer sehen eine gefälschte Banking-Website, auf der ebenfalls zusätzliche Eingabefelder nach den Zugangsdaten fragen.
* Als dritte Variante fängt die Malware die Antwort der Banking-Website ab und leitet auf den PHP-Server des Angreifers um. Dieser injiziert Schadcode in die abgefangene Antwort.

Mithilfe seiner sogenannten Dynamic-Threat-Intelligence-Cloud konnte Fireeye nach eigenen Angaben einige Statistiken zur Dridex-Malware zusammentragen.

Die größte Reichweite hat der Banking-Trojaner in Nordamerika, doch auch in Deutschland ist seine Reichweite enorm: 62,8 Prozent. Damit liegen deutsche Unternehmen auf einem überdurchschnittlichen Niveau, denn weltweit wurde die Malware bei 57,3 Prozent der untersuchten Unternehmen beobachtet.

„Moderne Bedrohungen für die Cyber-Sicherheit stellen immer auch eine weltweite Gefahr für die Sicherheit von Unternehmen dar. Der beobachtete Trojaner ist ein gutes Beispiel dafür“, erklärt Frank Kölmel, Vice President Central & Eastern Europe bei Fireeye. „Überall, wo vertrauliche Informationen oder Finanzdaten verwahrt oder übermittelt werden, versuchen Cyber-Kriminelle, an sie zu gelangen. Die Entwickler von Dridex sind kein Einzelfall.“

Die Entwickler von Dridex sind nach wie vor aktiv, und ihre Phishing-Kampagnen gehören zu den sich am schnellsten entwickelnden der jüngeren Vergangenheit. Die Methoden, mit der die Malware per Phishing-E-Mails an ihr Ziel gelangt, ändern sich fortwährend und jede neue Kampagne nutzt neue Möglichkeiten für ihre Angriffe.

Die in frühen Stadien am häufigsten beobachtete Angriffsmethode der Dridex-Entwickler waren E-Mails mit eingebetteten schädlichen Links oder Anhängen, die den Empfänger zur Nutzung eines Downloaders namens „Uptrade“ bringen sollten. Seitdem trat eine Reihe weiterer Methoden auf, die sowohl mit schädlichen Links für Downloads und andere Websites als auch mit infizierten Datei-Anhängen arbeiteten.

Die meisten Weiterentwicklungen hinsichtlich der Methoden wurden 2014 im Zusammenhang mit dem Verstecken der Malware beobachtet. Dazu verwendeten die Hacker beispielsweise Makros oder Server mit SSL-Zertifikaten. Andere Bestandteile der Dridex-Methoden hatten sich im letzten Jahr wiederum nicht verändert.

Seit Beginn des Jahres 2015 lassen sich Weiterentwicklungen des Dridex-Phishings beobachten, die ein Entdecken der Angriffe erschweren. Dazu nutzen die Entwickler unter anderem makrobasierende Trojaner-Downloader und Multistage-Downloader.

Bei jüngeren Dridex-Phishing-Wellen nutzten die Hacker unterschiedliche Varianten bekannter Dateiformate– einige Beispiele:

* XML-Dokumente – März 2015,

* Schädliche Word-Dokumente, in PDF eingebettet – April 2015 und

* MIME-basierende Microsoft Office-Dateien – Mai 2015

Weitere Informationen zu Dridex und den beobachteten Entwicklungen rund um den Banking-Trojaner sind im Blog von FireEye unter www.fireeye.com/blog/threat-research/2015/06/evolution_of_dridex.html zu finden.