Malware-Puzzle installiert Phishing-Trojaner

Mit so genannten Drive-by-Downloads beginnt eine Kette von Malware-Installationen, die in einem nicht so einfach zu lösenden Puzzle endet. Mehrere Key-Logger sollen verschiedene Eingaben abfangen und an die Täter melden.

Bei ihren Bemühungen, möglichst vielen Internetnutzern die Zugangsdaten zum Online-Banking zu stehlen, verlegen sich kriminelle Gruppen vermehrt auf das Web, statt Massen von Phishing-Mails zu versenden. Francois Paget vom Antivirushersteller McAfee berichtet in diesem Zusammenhang im AVERT-Blog über ein komplexes Malware-Puzzle, das er und seine Kollegen zu lösen hatten.

Die Täter locken potenzielle Opfer zunächst auf eine harmlos erscheinende Website. Dort wird eines von mehreren Scripts aktiv, das eine Sicherheitslücke im benutzten Webbrowser ausnutzt, um Malware von einem weiteren Server einzuschleusen. Da dies ohne die Mitarbeit des Benutzers geschieht, spricht man auch von "Drive-by"-Downloads. Während der PC-Nutzer bereits zu einer anderen Website weitergezogen ist, werkelt auf seinem PC im Hintergrund die eingeschleuste Malware.

Sie setzt zunächst das Windows-Sicherheitscenter außer Gefecht, manipuliert Registry-Einträge und lädt ein weiteres Trojanisches Pferd. Dann löscht sich das Download-Programm selbst und gibt die Kontrolle an das Trojanische Pferd weiter. Dieses ermittelt mit Hilfe von Javascript anhand der IP-Adresse den Standort (Land und Stadt) des verseuchten Rechners und meldet diese Daten an einen Server der Täter. Dann lädt es zwei weitere Schädlinge herunter und verschwindet.

Diese installieren mehrere Key-Logger unterschiedlichen Typs. Während der eine Bildschirmfotos anfertigt, sobald eine Webseite die Eingabe von Zugangsdaten erfordert, ist ein anderer als Browser Helper Object (BHO) im Internet Explorer aktiv und fängt Eingaben ab. Neben dem Online-Bezahldienst eGold sind zum Beispiel die Banking-Seiten der Deutschen Bank und der Postbank Ziele dieses Programms. Ein dritter Key-Logger zeichnet alle Tastatureingaben sowie die besuchten URLs während einer Websitzung auf.

Als ob das noch nicht genug wäre, wird auch noch ein Backdoor-Programm installiert, das den Tätern den Zugriff auf den verseuchten PC über das Internet ermöglicht. Es startet zudem noch einen lokalen Webserver. Insgesamt besteht das Malware-Puzzle aus mindestens elf Teilen. Die Opfer verteilen sich über die ganze Welt. Die meisten sind in den USA, gefolgt von Frankreich und der Türkei. Deutschland liegt in der Liste auf Platz sieben hinter Polen. Die Zahlen stammen von einem Server, an den die Schädlinge die ermittelten Informationen gemeldet hatten - bevor er dicht gemacht wurde.

Die globale Verteilung der Opfer zeigt, dass man sich in keinem Land der Welt vor Angriffen dieser Art sicher fühlen sollte. Die Globalisierung ist auch in der Online-Kriminalität längst bittere Realität. (PC-Welt/mja)