Noch im Jahr 2007 waren Phishing und die Attacke auf Bankkonten eines der großen Themen im Sicherheitsbereich. Die Angriffe auf Finanzinstitute nehmen allerdings in den letzten Jahren ab, wie das IBM ISS herausgefunden haben will. Das hat drei Gründe: Die Banken haben teilweise bessere Sicherheitsmechanismen wie mTAN und iTAN implementiert, die Nutzer sind sich der Gefahren bewusst – und die Kriminellen haben bessere Wege gefunden, an fremdes Geld zu gelangen.
Eine der am weitesten entwickelten Methode ist die Malware URLzone oder Bebloh. Dabei handelt es sich um eine komplette Malware-Plattform, die nur ein Ziel hat: das Geld auf den Online-Konten der Opfer. URLzone geht dabei deutlich geschickter vor als andere Banking-Schadprogramme. Der Client auf dem PC ist Teil eines Botnets. Dieses wartet, bis eine Verbindung zu einer Online-Bank aktiv ist, und manipuliert dann sowohl die Eingaben des Nutzers wie auch die Anzeigen der Bank.
So konnte URLzone unter anderem die Sicherheitsfunktionen der Postbank außer Gefecht setzen, die mit zur am besten gesicherten Online-Bank gehört. Die Kriminellen haben ein gutes Geschäft gemacht: Laut dem Cybercrime Intelligence Report 03 2009 (PDF-Download) der Sicherheitsfirma Finjan konnte die Gang hinter URLzone in nur 22 Tagen bis zu 300 000 Euro stehlen.
In diesem Artikel wollen wir Ihnen die Funktionsweise von URLzone genauer vorstellen und Tipps zum Schutz gegen die Malware geben. Dieser Artikel ist Teil unserer Dossier-Reihe, in der wir besonders aktive oder neuartige Schadprogramme detailliert beschreiben. In diese Reihe fallen auch die Artikel „Der Sturmwurm – die Evolution der Malware“ sowie „Conficker – das größte Botnet aller Zeiten“.
|
Name |
URLzone |
|
Alias |
Bebloh |
|
Art |
Banking-Malware |
Infektion und Vorbereitung
Wie nahezu jede moderne Malware setzt auch URLzone auf ein Botnet mit zentralisierter Verwaltung. Um Teil des Netzes zu werden, wird ein neuer Client zunächst infiziert. Wie die digitalen Schädlinge auf den Rechner kommen, spielt dabei keine Rolle. Möglich ist etwa auch, dass ein bereits installiertes Schadprogramm die entsprechenden Daten nachlädt. Dazu gibt es einen richtiggehenden Servicemarkt in der Szene der Malware-Schreiber, wie Symantec in einem Underground-Report vom November 2008 beschreibt (PDF-Download)
Nach der Infektion kopiert sich die Malware nach c:\uninstall02.exe und erstellt eine ID-Nummer. Danach nimmt das Programm Kontakt zu einem Command & Controll (C&C)-Server auf. Hier meldet URLzone die neu infizierte Maschine und die ID an. Dadurch behält der Server den Überblick über infizierte Rechner und welche Version der Malware auf ihnen läuft. Auf dem Rechner erstellt URLzone anschließend einen neuen versteckten Prozess und kopiert die Daten in den System32-Ordner von Windows.
Die eigentliche Intelligenz steckt bei Bebloh im C&C-Server. Dieser erstellt Konfigurationsdateien, die anschließend an die infizierten Clients übertragen werden. Diese Dateien enthalten Anweisungen, wie sich die infizierte Maschine zu verhalten hat, und sind meist verschlüsselt.
Bebloh trägt sich anschließend in die Windows-Registry ein und erstellt einen Autostart-Eintrag. Doch damit nicht genug: Die Malware fügt sich noch mit einem Debugger-Wert in die Datei userinit.exe hinzu. Diese Datei ist Teil von Windows und regelt die Benutzeranmeldung. Sie wird automatisch beim Start von Windows ausgeführt. Hat URLzone die Datei erfolgreich infiziert, wird auch die Malware mit jedem Boot-Vorgang gestartet.
Um auf dem Laufenden zu bleiben, manipuliert Bebloh zusätzlich die Datei svchost.exe. Diese wird anschließend dazu genutzt, alle drei Stunden beim Kontroll-Server nachzufragen, ob neue Informationen oder Anweisungen vorliegen.
Manipulation des Datenstreams
Nachdem sich die Malware auf dem System eingenistet hat, sind die Vorbereitungen abgeschlossen. URLzone legt sich auf die Lauer. Jede Sekunde prüft die Schadsoftware, ob einer der folgenden Prozesse aktiv ist:
-
myie.exe
-
iexplore.exe
-
firefox.exe
-
mozilla.exe
-
avant.exe
-
maxthon.exe
-
thebat.exe
-
explorer.exe
Dabei handelt es sich in erster Linie um Browser, genauer gesagt um den Internet Explorer sowie diverse Browser, die auf ihn aufbauen, und die beiden Mozilla-Produkte. Der Prozess TheBat gehört zum gleichnamigen E-Mail-Programm, die explorer.exe ist eine Instanz des grafischen Windows-Interfaces; unter anderem gehört dazu die Desktop-Anzeige.
Wird einer der überwachten Prozesse aktiv, klinkt sich URLzone in das jeweilige Programm ein. Denn um erfolgreich zu sein, muss die Malware die Zugangsdaten zu einer gesicherten Verbindung via HTTPS abfangen, bevor die Verschlüsselung aktiv ist. Ist der Schädling erfolgreich, hat er alle Komponenten, um eine verschlüsselte Verbindung zu entschlüsseln und Eingaben abzufälschen.
Das weitere Vorgehen von Bebloh konnten die Sicherheitsexperten von Finjan anhand einer Attacke auf das Online-Portal der Postbank verfolgen. Denn nun wird es interessant: Die Malware lässt den Nutzer die Zugangsdaten eingeben und wartet ab, bis eine Überweisung ausgefüllt wird. Sobald der User eine Überweisung bestätigt, wird URLzone aktiv und manipuliert bestimmte Daten. Dazu gehören das Zielkonto, die Bankleitzahl und die zu überweisende Summe.
Allerdings wird das vor dem Nutzer geschickt versteckt. Dieser sieht anschließend auf seiner Bestätigung weiterhin die Daten, die er eingetragen hat – das Interface der Bank wird mit den ursprünglichen Informationen überlagert. Doch damit nicht genug: URLzone manipuliert auch die Übersichtsanzeige des Kontos. Verfügbare Guthaben, letzte Überweisungen – alles wird so dargestellt, wie der Nutzer es erwartet, während die Malware im Hintergrund deutlich mehr Geld an komplett andere Konten überträgt.
Unerkannt und anonym
Wie also konnte URLzone so lange unerkannt bleiben und Konten abräumen? Zum einen hilft natürlich die manipulierte Kontenansicht. Solange der Nutzer keine Änderung im Online-Interface sieht, wird er auf den Diebstahl nur dann aufmerksam, wenn er etwa an einem Geldautomaten keine Auszahlung mehr erhält. Zum anderen werden auch die Sicherheitssysteme der Banken von den URLzone-Machern ausgehebelt.
Die Forscher von Finjan sind auf einige Funktionen von URLzone gestoßen, die die Vermutung nahelegen, dass die Entwickler die Antibetrugssysteme der Banken genau kennen. Die Anweisungen an die Malware sind meist sehr exakt. Sobald URLzone die eigentliche Überweisung manipuliert, muss die neue Überweisung diverse definierte Vorgaben erfüllen.
Dazu gehört beispielsweise, dass die gestohlene Geldmenge nicht zu hoch ausfällt, um etwa das tägliche Limit des Nutzers nicht zu übersteigen. Außerdem darf das Konto nicht ins Minus rutschen. Auch erhält jede neue manipulierte Überweisung einen zufälligen Betrag innerhalb eines Limits. Dadurch will die Bande anscheinend verhindern, dass die Banken ein Muster in den Überweisungen erkennen und filtern können.
Über die Konfiguration wird auch sichergestellt, dass stets ein Bruchteil der ursprünglichen Summe auf dem Konto bleibt. Das Ziel dieser komplexen Vorgaben ist einfach: Je länger die Malware unerkannt arbeiten kann, desto mehr Geld kann auf die Konten der Money Mules und so auf die Konten der eigentlichen Kriminellen wandern.
Doch wie gelang es der Malware, die Antivirenprogramme so lange zu narren? Die Firma ThreatFire meint darauf eine Antwort zu haben. Zum einen erstellt die Malware ständig neue Varianten. Diese sind zudem darauf angelegt, dass sie Emulationen und Sandboxen von Anti-Viren-Lösungen auslasten oder in Endlosschleifen schicken. Der eigentliche Schadcode verbirgt sich dann in tieferen Ebenen des Programmes oder in anderen Bereichen, die nur wenig referenziert werden. Zum anderen reduziert die Malware die eigentliche Kommunikation der Clients auf ein Minimum. Jeder Austausch mit dem C&C-Server ist in der Größe begrenzt. So soll vermieden werden, dass eine Intrusion-Detection-Software oder andere Sicherheitskomponenten im Netzwerk auf den verräterischen Traffic aufmerksam werden.
Money Mules – die unwissenden Geldwäscher
Wird Geld von einem Konto auf ein anderes überwiesen, entstehen Einträge bei den Banken, über die Transaktionen zurückverfolgt und unter Umständen storniert werden können. Wie also tricksen die Betreiber des URLzone-Botnets diese Sicherheitsmaßnahmen aus? Dabei helfen ihnen sogenannte Money Mules, auf Deutsch etwa Finanzagenten.
Rekrutiert werden diese unwissenden Geldwäscher oft per E-Mail. Dabei landen Angebote in den Postfächern, die eine einfache Arbeit versprechen. Man muss lediglich ein neues Konto eröffnen und erhält dann Einzahlungen, die man abzüglich einer satten Provision auf ein anderes Konto weiterleitet. Oder man erhält Einzahlungen, die man anschließend per Bargeldtransfer, etwa über Western Union, weiterschickt. Die einzelnen Agenten werden nur eine begrenzte Zeit genutzt. Die meisten Kriminellen verfügen über ein großes Netz an Money Mules, zwischen denen sie das Geld immer wieder hin- und herschicken.
Banken und Strafverfolgungsbehörden bleiben in aller Regel an den Agenten hängen, die nur kleine Beträge verwalten und zurückbehalten. Spätestens wenn eine Überweisung die Landesgrenzen überschreitet, wird die Verfolgung kompliziert.
Laut einer Analyse von RSA ging die Cyber-Gang hinter URLzone noch einen Schritt weiter. Um zu verhindern, dass die Forscher die echten Accounts der Finanzagenten aus dem Code der Software auslesen können, haben die Entwickler Gegenmaßnahmen in die Malware integriert. So prüft die Software beispielsweise, ob der Rechner, der eine Transaktion anfordert, überhaupt Teil des Botnets ist. Fällt er bei dieser Verifikation durch, gibt die Malware gefälschte Kontodaten zurück, die nichts mit dem eigentlichen Netzwerk der Finanzagenten zu tun haben. Damit wollen die Kriminellen verhindern, dass Forscher und Fahnder den echten Money Mules auf die Schliche kommen.
Der Code und die Inhalte für die jeweiligen Anzeigen kommen nicht vom Client, sondern werden direkt vom C&C-Server geliefert. Dieser erstellt nicht etwa zufällige Daten, sondern nutzt die Informationen von bereits bestohlenen Nutzern. Im Klartext: Nicht nur wird einem Opfer das Geld gestohlen, im schlimmsten Fall gerät es auch noch in die Mühlen der Strafverfolgung und muss dann beweisen, dass es keine Transaktionen als Finanzagent durchgeführt hat.
Schutz vor dieser Malware
Wie also kann man sich vor dieser Art der Betrügereien schützen? Zunächst sollte man die normalen Sicherheitstipps beherzigen. Wer an einem Rechner ohne Antivirenschutz, im Internet-Café oder über ungeschützte WLANs Bankgeschäfte erledigt, muss sich im Klaren sein, dass seine Daten ohne Schutz sind. Wer wirklich sicher sein will, sollte auf HBCI und entsprechende Programme zur Kontenverwaltung setzen oder Online-Banking beispielsweise über eine virtuelle Maschine erledigen, in der ein gehärtetes Linux läuft.
Um einem URLzone-Dieb auf die Schliche zu kommen, sollte man in jedem Fall regelmäßig Kontoauszüge von der Bank holen. Mag die Malware den lokalen Rechner noch so manipulieren, auf die Drucker der Bank hat sie keinen Einfluss. Sobald Unregelmäßigkeiten auffallen, sollte man sofort seinen Bankberater ansprechen und die Polizei informieren.
Und auch wenn es noch so verlockend klingt: Wenn man einen Job als Finanzagent, Finanzvermittler, kurz Money Mule, annimmt, macht man sich strafbar. Hier gilt es auch, den Bekanntenkreis zu informieren.
Fazit
Es spricht für das Fachwissen der URLzone-Entwickler, dass sie so lange unter dem Radar der Antivirenindustrieb blieben und mit ihrer Malware die Sicherheitssysteme selbst von gut vorbereiteten Banken aushebeln konnten. Die Summen, die URLzone gestohlen und wahrscheinlich durch ein Netzwerk von Finanzagenten gewaschen hat, sind beträchtlich. Außerdem zeigt die Malware, dass es die Kriminellen weiterhin auf die Konten der Opfer abgesehen haben – wenn auch nicht mehr primär durch klassische Phishing-Attacken.
Die Angriffsmethode von Bebloh ist nicht so sehr eine Man-in-the-Middle-Attacke als vielmehr eine Man-in-the-Browser-Attacke. Denn die Malware klinkt sich nicht in den eigentlichen Datenfluss ein, sondern nutzt den Browser als Quelle für Verschlüsselungs- und Zugangsdaten. Da die Schadsoftware erst nach der Authentifizierung des Nutzers bei der Bank ansetzt, helfen auch neue Zugangssicherungen oder TAN-Verfahren wenig.
Teilweise sind die Banken dennoch mit in der Verantwortung. Seit Jahren versuchen sie, immer mehr Aufgaben vom Kundenberater auf den Endkunden abzuschieben, seien es Überweisungen, Daueraufträge oder virtuelle Kontoauszüge.
Die Attacke zeigt aber auch, dass Firefox mit dem Erfolg ebenfalls ein beliebtes Ziel für Angreifer und Virenschreiber geworden ist. Eine ähnliche Malware hätte sich noch vor zwei Jahren hauptsächlich auf den Internet Explorer konzentriert. Nun ist Firefox kein Spielzeug der Geeks mehr, sondern wird auch von einfachen Usern genutzt – Usern, denen es oftmals am Verständnis für aktuelle Sicherheitsprogramme, gepatchte Systeme und gefährliches Verhalten im Internet mangelt. (mje)