Trojaner phisht nach Daten

Malware bastelt eigene Formularfelder in Websites

Eine neue Malware ist scharf auf Kontoinformationen. Um an sie heranzukommen, erweitert sie legitime Webseiten um eigene Formularfelder.

Ein bereits seit längerer Zeit existierendes Trojanisches Pferd ist mittlerweile für eine größere Zahl von Online-Betrügern verfügbar. Wie Sicherheitsforscher von RSA Consumer Solutions berichten, benutzt der Schädling eine Methode namens "HTML-Injection", um zusätzliche Eingabefelder in Online-Formulare einzufügen. Die zunehmende Verbreitung sei auf einen Preisverfall zurückzuführen. Kostete "Limbo" auf dem Untergrundmarkt vor zwei Jahren noch 5000 US-Dollar und vor einem Jahr 1000 Dollar, ist der Schädling nun für 350 Dollar erhältlich.

Durch eine enge Integration mit dem Browser kann Limbo arbeiten, während Anwender gerade die Website ihrer Bank besuchen. Limbo kann das Aussehen der Webseite verändern, Formularfelder einfügen und Daten abgreifen. Uri Rivner von RSA berichtet, es sei für den Anwender kaum erkennbar, dass gerade etwas falsch laufe. Das einzige Anzeichen sei, dass Daten abgefragt würden, deren Eingabe die Bank bislang nie verlangt hatte.

Limbo kann auf verschiedenen Wegen auf den Rechner gelangen - im Grunde auf allen bekannten Wegen, die zum Einschleusen von Schädlingen genutzt werden. Seit einiger Zeit sind so genannte Drive-by-Downloads recht verbreitet, bei denen eine Schwachstelle im Browser ausgenutzt wird, um einen Schädling ohne jede Interaktion mit dem Anwender einzuschleusen. Aber auch klassische Wege wie Mail-Anhänge oder Popups auf Webseiten, die zum Download eines Zusatzprogramms, etwa eines Video-Codecs auffordern, werden genutzt.

Einmal installiert, kann der Schädling die Webnutzung des Anwenders überwachen und bei bestimmten Websites, etwa denen von Banken, zusätzliche Abfragen einbauen und die Eingaben abfangen. Eine SSL-Verschlüsselung der Verbindung zur Bank-Website schützt hier nicht, da Limbo auf Anwenderseite an der Quelle sitzt. Der Schädling nutzt in neueren Varianten, die auch unter Namen wie "Zeus" oder "WSNPOEM" bekannt sind, sogar selbst SSL-verschlüsselte Verbindungen für seine Kommunikation mit dem Mutterschiff. (PC-Welt/mja)