Internet Explorer: Trojaner hört Online-Banking ab

Ein neuer Trojaner, der über den Internet Explorer auf den Rechner gelangt, spioniert gezielt Online-Banking-Daten aus. Dazu greift er sie bei laufender HTTPS-Verbindung bereits vor der Verschlüsselung ab. Gefährdet sind unter anderem die Kunden der Sparkassen, der Deutschen Bank und der Citybank.

Die Infektion erfolgt nach derzeitigem Kenntnisstand über Pop-up/Pop-under-Werbung, die von infizierten Ad-Servern ausgeliefert wird. Über eine bekannte Lücke im Internet Explorer wird eine CHM-Datei nachgeladen und ausgeführt, bei der es sich offenbar um das Trojaner-Ladeprogramm handelt. Es lädt eine 27.648 Byte große, als GIF getarnte Datei nach, bei der es sich in Wirklichkeit um ein UPX-komprimiertes Win32-Programm handelt, und startet diese.

Dieses Executable ist ein File-Dropper, der den eigentlichen Trojaner als DLL mit zufälligem Namen unter C:\WINDOWS\System32 ablegt. Die DLL wird gleichzeitig als Internet-Explorer-BHO (Browser Helper Object) registriert. Über BHOs, die der Internet Explorer ab Version 4.0 beim Start automatisch lädt, lassen sich zusätzliche Funktionen in den Browser integrieren. Dazu erhalten BHOs Zugriff auf alle Daten und Events einer Browser-Session.

In diesem Fall klinkt sich das BHO in die HTTPS-Verbindungen zu URLs von mehreren Dutzend Finanzinstituten in zahlreichen Ländern ein. Dabei fängt es sämtliche ausgehenden POST- und GET-Requests bereits vor der SSL-Verschlüsselung ab. Die so erhaltenen Klartext-Daten der Online-Banking-Verbindung sendet das BHO über eine ausgehende HTTP-Verbindung an ein Perl-Script auf einem präparierten Webserver. Die URLs, bei denen der Trojaner mithört, sind in der DLL hardcodiert. In Deutschland sind betroffen:

- .deutsche-bank.de

- .citibank.de

- .sparkasse-banking.de

- banking.lbbw.de (Landesbank Baden-Württemberg)

- dit-online.de (Deutscher Investment-Trust)

(weiter auf der nächsten Seite)