Sicherheit beim Online-Banking

URLzone räumt Konten ab

Manipulation des Datenstreams

Nachdem sich die Malware auf dem System eingenistet hat, sind die Vorbereitungen abgeschlossen. URLzone legt sich auf die Lauer. Jede Sekunde prüft die Schadsoftware, ob einer der folgenden Prozesse aktiv ist:

  • myie.exe

  • iexplore.exe

  • firefox.exe

  • mozilla.exe

  • avant.exe

  • maxthon.exe

  • thebat.exe

  • explorer.exe

Dabei handelt es sich in erster Linie um Browser, genauer gesagt um den Internet Explorer sowie diverse Browser, die auf ihn aufbauen, und die beiden Mozilla-Produkte. Der Prozess TheBat gehört zum gleichnamigen E-Mail-Programm, die explorer.exe ist eine Instanz des grafischen Windows-Interfaces; unter anderem gehört dazu die Desktop-Anzeige.

Umgelenkt: die Eingaben des Nutzers und die Änderungen der Malware. (Quelle: Finjan)
Umgelenkt: die Eingaben des Nutzers und die Änderungen der Malware. (Quelle: Finjan)

Wird einer der überwachten Prozesse aktiv, klinkt sich URLzone in das jeweilige Programm ein. Denn um erfolgreich zu sein, muss die Malware die Zugangsdaten zu einer gesicherten Verbindung via HTTPS abfangen, bevor die Verschlüsselung aktiv ist. Ist der Schädling erfolgreich, hat er alle Komponenten, um eine verschlüsselte Verbindung zu entschlüsseln und Eingaben abzufälschen.

Das weitere Vorgehen von Bebloh konnten die Sicherheitsexperten von Finjan anhand einer Attacke auf das Online-Portal der Postbank verfolgen. Denn nun wird es interessant: Die Malware lässt den Nutzer die Zugangsdaten eingeben und wartet ab, bis eine Überweisung ausgefüllt wird. Sobald der User eine Überweisung bestätigt, wird URLzone aktiv und manipuliert bestimmte Daten. Dazu gehören das Zielkonto, die Bankleitzahl und die zu überweisende Summe.

Verkehrte Ansicht: URLzone manipuliert nicht nur die Eingaben, sondern auch die Übersicht der Konten. (Quelle: Finjan)
Verkehrte Ansicht: URLzone manipuliert nicht nur die Eingaben, sondern auch die Übersicht der Konten. (Quelle: Finjan)

Allerdings wird das vor dem Nutzer geschickt versteckt. Dieser sieht anschließend auf seiner Bestätigung weiterhin die Daten, die er eingetragen hat – das Interface der Bank wird mit den ursprünglichen Informationen überlagert. Doch damit nicht genug: URLzone manipuliert auch die Übersichtsanzeige des Kontos. Verfügbare Guthaben, letzte Überweisungen – alles wird so dargestellt, wie der Nutzer es erwartet, während die Malware im Hintergrund deutlich mehr Geld an komplett andere Konten überträgt.