Sicherheit beim Online-Banking

URLzone räumt Konten ab

Unerkannt und anonym

Wie also konnte URLzone so lange unerkannt bleiben und Konten abräumen? Zum einen hilft natürlich die manipulierte Kontenansicht. Solange der Nutzer keine Änderung im Online-Interface sieht, wird er auf den Diebstahl nur dann aufmerksam, wenn er etwa an einem Geldautomaten keine Auszahlung mehr erhält. Zum anderen werden auch die Sicherheitssysteme der Banken von den URLzone-Machern ausgehebelt.

Die Forscher von Finjan sind auf einige Funktionen von URLzone gestoßen, die die Vermutung nahelegen, dass die Entwickler die Antibetrugssysteme der Banken genau kennen. Die Anweisungen an die Malware sind meist sehr exakt. Sobald URLzone die eigentliche Überweisung manipuliert, muss die neue Überweisung diverse definierte Vorgaben erfüllen.

Vorgaben: URLzone räumt Konten nicht leer, sondern muss sich an genau definierte Umgebungsvariablen halten. (Quelle: Finjan)
Vorgaben: URLzone räumt Konten nicht leer, sondern muss sich an genau definierte Umgebungsvariablen halten. (Quelle: Finjan)

Dazu gehört beispielsweise, dass die gestohlene Geldmenge nicht zu hoch ausfällt, um etwa das tägliche Limit des Nutzers nicht zu übersteigen. Außerdem darf das Konto nicht ins Minus rutschen. Auch erhält jede neue manipulierte Überweisung einen zufälligen Betrag innerhalb eines Limits. Dadurch will die Bande anscheinend verhindern, dass die Banken ein Muster in den Überweisungen erkennen und filtern können.

Über die Konfiguration wird auch sichergestellt, dass stets ein Bruchteil der ursprünglichen Summe auf dem Konto bleibt. Das Ziel dieser komplexen Vorgaben ist einfach: Je länger die Malware unerkannt arbeiten kann, desto mehr Geld kann auf die Konten der Money Mules und so auf die Konten der eigentlichen Kriminellen wandern.

Doch wie gelang es der Malware, die Antivirenprogramme so lange zu narren? Die Firma ThreatFire meint darauf eine Antwort zu haben. Zum einen erstellt die Malware ständig neue Varianten. Diese sind zudem darauf angelegt, dass sie Emulationen und Sandboxen von Anti-Viren-Lösungen auslasten oder in Endlosschleifen schicken. Der eigentliche Schadcode verbirgt sich dann in tieferen Ebenen des Programmes oder in anderen Bereichen, die nur wenig referenziert werden. Zum anderen reduziert die Malware die eigentliche Kommunikation der Clients auf ein Minimum. Jeder Austausch mit dem C&C-Server ist in der Größe begrenzt. So soll vermieden werden, dass eine Intrusion-Detection-Software oder andere Sicherheitskomponenten im Netzwerk auf den verräterischen Traffic aufmerksam werden.