Sicherheit beim Online-Banking
URLzone räumt Konten ab
Manipulation des Datenstreams
Nachdem sich die Malware auf dem System eingenistet hat, sind die Vorbereitungen abgeschlossen. URLzone legt sich auf die Lauer. Jede Sekunde prüft die Schadsoftware, ob einer der folgenden Prozesse aktiv ist:
-
myie.exe
-
iexplore.exe
-
firefox.exe
-
mozilla.exe
-
avant.exe
-
maxthon.exe
-
thebat.exe
-
explorer.exe
Dabei handelt es sich in erster Linie um Browser, genauer gesagt um den Internet Explorer sowie diverse Browser, die auf ihn aufbauen, und die beiden Mozilla-Produkte. Der Prozess TheBat gehört zum gleichnamigen E-Mail-Programm, die explorer.exe ist eine Instanz des grafischen Windows-Interfaces; unter anderem gehört dazu die Desktop-Anzeige.
Wird einer der überwachten Prozesse aktiv, klinkt sich URLzone in das jeweilige Programm ein. Denn um erfolgreich zu sein, muss die Malware die Zugangsdaten zu einer gesicherten Verbindung via HTTPS abfangen, bevor die Verschlüsselung aktiv ist. Ist der Schädling erfolgreich, hat er alle Komponenten, um eine verschlüsselte Verbindung zu entschlüsseln und Eingaben abzufälschen.
Das weitere Vorgehen von Bebloh konnten die Sicherheitsexperten von Finjan anhand einer Attacke auf das Online-Portal der Postbank verfolgen. Denn nun wird es interessant: Die Malware lässt den Nutzer die Zugangsdaten eingeben und wartet ab, bis eine Überweisung ausgefüllt wird. Sobald der User eine Überweisung bestätigt, wird URLzone aktiv und manipuliert bestimmte Daten. Dazu gehören das Zielkonto, die Bankleitzahl und die zu überweisende Summe.
Allerdings wird das vor dem Nutzer geschickt versteckt. Dieser sieht anschließend auf seiner Bestätigung weiterhin die Daten, die er eingetragen hat – das Interface der Bank wird mit den ursprünglichen Informationen überlagert. Doch damit nicht genug: URLzone manipuliert auch die Übersichtsanzeige des Kontos. Verfügbare Guthaben, letzte Überweisungen – alles wird so dargestellt, wie der Nutzer es erwartet, während die Malware im Hintergrund deutlich mehr Geld an komplett andere Konten überträgt.