|
|
ZeuS/Zbot/Wsnpoem.
Diese Malware-Familie
nutzt Spam-Mails zum Angriff, die eine Kopie des Keyloggers als
Anlage enthalten. Die E-Mails verwenden gleichartige Social
Engineering-Tricks, indem sie z.B. eine elektronische Rechnung
vorzugeben, um das Opfer zu verleiten, die Anlage zu öffnen die
Anlage.
Im Gegensatz zu Limbo, die eher einfache Techniken verwendet, um
Anmeldeinformationen zu stehlen, ist ZeuS technisch weiter
entwickelt: Die Malware infiziert den Arbeitsspeicher und
versteckt seine Anwesenheit. Sobald sie erfolgreich den Internet
Explorer injiziert hat, beginnt sie die HTTP-POST-Abfragen über
Anmeldeinformationen zu beobachten. Diese Malware stiehlt auch
Informationen aus Cookies und dem geschützten Speicher. Alle
gesammelten Informationen wird in regelmäßigen Abständen an der
Dropzone über HTTP-Anforderungen gesendet, die den Harvesting-Kanal
bildet.
In der Dropzone arbeitet ein Webserver selbst ist als einer
web-Anwendung, der die gestohlenen Anmeldeinformationen entweder
im Dateisystem oder in einer Datenbank speichert.
 (5)
Fortsetzung |
|
 Ein Team
um den Honeynet-Spezialisten Thorsten Holz von der Universität Mannheim
hat eine Fallstudie
(1)
zu Bank-Trojanern, Keyloggern und deren Datensammelstellen (Dropzones)
veröffentlicht.
(2)
Sie konzentrieren sich auf zwei populäre Malware-Familien, ZeuS und
Nethell, die auf das Ausspähen von Daten spezialisiert sind
(3),
ohne gleichzeitig den Homebanking-Vorgang zu manipulieren
(4).
ZeuS verbreitet sich als E-Mail-Anhang und infiziert die Arbeitsprozesse
im PC
(7).
Nethell dringt hingegen über infizierte Webseiten ein und missbraucht
den Browser unmittelbar
(8).
Bei der 7-monatigen Erhebung hat das Team mehr als 220.000
Zugangs-Datensätze und 350 Dropzones
(9)
(10)
gefunden, von denen sie jedoch nur ein Fünftel auswerten konnten
(11).
Sie fanden 10.775 Kontendaten für das Homebanking und
2.263 Zugangsdaten zu
PayPal-Konten
(12).
Die
wirkliche Masse der gestohlenen Zugangsdaten machen mit fast 150.000
Datensätzen Passwörter für Freemail-Angebote wie jene von AOL, Google,
Microsoft oder Yahoo aus. Dazu kommen weitere Daten wie Identitäten für
soziale Netzwerke, komplette Kreditkarten-Informationen oder Account-Daten
für Auktionsplattformen.
(10)
Darunter
fanden sich auch mehr als 10.000 Bankkontodaten inklusive PINs, mehr als
140.000 E-Mail-Passwörter und fast 80.000 Zugangsdaten zu Social-Networking-Seiten
wie Facebook und Hi5.
(2)
|
Den
Keylogger Limbo hat das Team einer näheren Analyse unterzogen. Insgesamt
beobachteten sie rund 164.000 Infektionen mit dem Schädling, wobei der
Keylogger den größten Teil der gesammelten Daten in zwei chinesischen
Dropzones hinterlegte. 16 Prozent der Infektionen waren Russland
zuzuordnen, 14 Prozent den USA, 13 Prozent Spanien, 12 Prozent
Großbritannien und immerhin rund 7 Prozent Deutschland.
(2)
schätzt
die Gefahr, die von den ausgespähten Daten ausgeht, für die meisten
deutschen Bankkunden als gering ein, wenn sie das iTan-Verfahren über
verschlüsselte Verbindungen verwenden
(13),
das fast ausnahmslos eingeführt ist. Das trifft im Hinblick auf das
 Phishing
und die direkte Manipulation beim Homebanking zu, nicht aber wegen
betrügerischer Missbräuche im Zusammenhang mit dem Lastschriftverfahren
(14).
Dazu werden nur die reinen Kontodaten ohne PIN und TAN benötigt. Dem
Missbrauch des SEPA-Verfahrens ist damit ein guter Nährboden bereitet
(15).
|
|
|
Limbo/Nethell.
Diese Malware-Familie
verwendet infizierte Websiten und den Drive-by-Download als
Angriffsmethode für die Infektion des Opfers, das mit
Überredungstricks auf die Webseite gelockt wurde.
Die Malware selbst ist als ein Browser Helper Objekt - BHO, also ein Plugin für den Internet Explorer, das auf
Browser-Aktivitäten wie Navigation, Tastenanschläge und
Seitenaufrufe reagiert. Mit Hilfe der Schnittstelle, die der
Browser liefert, kann Limbo Zugriff auf das Document Object
Model - DOM - der aktuellen Seite zugreifen und sensible
Bereiche wie Anmeldeinformationen (form grabbing) überwachen und
kopieren.
Die Malware bietet einen flexiblen Einsatz, der in Laufzeit
konfiguriert werden kann. Beim Starten kontaktiert die
Malware die Dropzone um die aktuellen Konfigurationsoptionen von
dort abzurufen. Außerdem hat diese Malware die Fähigkeit,
Informationen aus den geschützten Speicher zu extrahieren, um
Cookies zu stehlen. (6) |
|
Je nach
Liquidität ist ein Bankkonto für 10 bis 1000 US-Dollar zu haben.
Kreditkarten scheinen langsam zu Ramschware zu verkommen: Bereits für 40
US-Cent kann man die Daten einer Karte kaufen. E-Mail-Passwörter nehmen
an Wert zu und kosten zwischen 4 und 30 US-Dollar.
(16)
Insgesamt
würden die von den Forschern gefundenen Daten auf dem Schwarzmarkt
irgendwo zwischen knapp 800.000 und etwas mehr als 16,6 Mio. Dollar
bringen. Für Cyberkriminelle sind die Keylogger damit sehr lohnend, denn
die Investitionskosten sind gering. "Das komplette ZeuS-Kit ist auf dem
Schwarzmarkt für etwa 2000 bis 3000 Dollar erhältlich", erklärt Holz.
(17)
Diese Einschätzungen bestätigen die Zahlen, die Symantec noch im
November 2008 vorgestellt hat
(18).
Danach sollen im vergangenen Jahr im Internet gestohlene Dienste und
Waren im Gesamtwert von 276 Millionen US-Dollar angeboten worden sein.
Die
Cybercrime entwickelt sich zum lukrativen Geschäft und sucht
neue
Wege, um sich
wirtschaftlich effektiv aufzustellen.
|
Über die auch im Cyberfahnder vorgestellten Banking-Trojaner
(19)
berichtet Daniel Bachfeld in
(20):
Solche
Trojaner bauen eigene Verbindungen zum Online-Banking des Kunden auf und
nehmen mit einer abgeluchsten TAN eigene Überweisungen vor. Dabei
präsentieren sie dem Anwender im Browser nachgemachte Banking-Seiten.
Der Trojaner Win32.Banker.ohq soll beispielsweise laut dem
Antiviren-Spezialisten Kaspersky 56 Bankenseiten imitieren können.
Bachfeld widmet sich besonders der Sicherheit des Homebankings, geht
auf TAN, iTAN
(21),
eTAN
(22)
und mTAN
(23)
sowie auf Kartensysteme ein
(24).
Eine lesenswerte Zusammenfassung, die in eine Empfehlung für Bankix
mündet
(25).
Dieser Artikel enthält 25 Fußnoten, 5 Links zu fremden Webseiten und 21
Links zu anderen Seiten im Cyberfahnder. Der Index enthält 25 Verweise
zu ihm.
Eine aufwändige Seite.
|
| |
 (1)
Thorsten Holz, Markus Engelberth,
Felix Freiling, Learning More About the Underground
Economy: A Case-Study of Keyloggers and Dropzones, Uni Mannheim
18.12.2008 (englisch)
(2)
Keylogger unter die Lupe genommen, Heise Security 18.12.2008
(3)
Missbrauch fremder Identitäten. Carding
(4)
neue
Methode gegen Homebanking-Malware,
Phishing
mit Homebanking-Malware
(5)
freie Übersetzung von S. 7 der Studie;
Harvest ~ sinngemäß "Ernte"
(6)
freie Übersetzung von S. 8 der Studie
(7)
gewandelte Angriffe aus dem Netz
(8)
SQL-Würmer,
Massenhacks von Webseiten werden zur Plage
(9)
Drop Zones. Carder,
kriminelle Unternehmer
(10)
Kriminelle verdienen kräftig an Keyloggern, tecchannel 19.12.2008
(11)
Passwort-Diebstahl bei PayPal und Webmail am häufigsten,
diepresse.com 19.12.2008
|
(12)
Quelle: siehe
(10);
Billing-Systeme
(13)
Sicherheit von Homebanking-Portalen
(14)
Einzugsermächtigung und Lastschriftverfahren
(15)
Single
Euro Payments Area - SEPA
(16)
siehe
(2)
(17)
siehe
(11)
(18)
Schattenwirtschaft im Internet
(19)
siehe
(4)
(20)
Daniel Bachfeld, Zahl oder Karte. Sicherer Zugriff aufs
Online-Konto, c't 17/2008, S. 94
(21)
siehe
(13),
(22)
BW-Bank-TAN-Generator (eTAN) bzw. Sm@rtTAN-Plus-Generator
(23)
Bezahlen
mit dem Handy
(24)
Home
Banking Computer Interface - HBCI
(25)
Bankix
|
Dezember 2008
