Trojaner infiziert Jobsuchende auf Monster.com

Ein Sicherheitsexperte von SecureWorks ist auf einen riesigen Daten-Pool mit persönlichen Informationen von rund 46.000 Personen gestoßen – die Beute einer Variante des "Prg"-Trojaners.

Nach Angaben Don Jackson, Forscher bei SecureWorks, haben sich viele der Opfer den für seine Wandelbarkeit berüchtigten Prg-Trojaner beim Besuch führender Online-Jobbörsen – darunter Monster.com - eingefangen. Zur Beute des Schädlings gehören unter anderem Bank- und Kreditkarteninformationen, Sozialversicherungsnummern sowie Benutzernamen und Passwörter für Online-Accounts.

Laut Jackson handelt es sich bei dem von ihm aufgespürten "Datenlager" um den bislang größten einzelnen Cache des Ende Juni entdeckten Prg-Trojaners. Dem Experten zufolge ist der untersuchte Server, einer von 20 ähnlichen Systemen, die weltweit von der Malware abgegriffene Informationen sammeln und speichern, nach wie vor aktiv – bisweilen soll er sogar von bis zu 10.000 Opfern gleichzeitig "gefüttert" werden. Zwölf der Server – darunter auch der mit dem bislang größten Daten-Pool – werden nach Angaben des Forschers von einer einzigen Hackergruppe kontrolliert, die für ihre nach Automobilherstellern wie "Bugatti", "Ford" und "Mercedes" benannten Attacken bekannt ist.

Der Infektionserfolg der Gruppe basiere zum einen auf der effektiven Verbreitung der Malware. Hierzu würden Trojaner-injizierte Werbeelemente auf Job-Börsen und anderen Web-Seiten platziert. Der Klick darauf führt den Nutzer zu einer Exploit-Seite, die einen Fingerprint des jeweils verwendeten Browsers erstellt und dann zwischen ein und vier Exploits liefert, um das System mit dem Schadprogramm zu infizieren. Von diesem Moment an werden alle in den Browser eingegebenen Informationen abgegriffen und an den Server der Hacker geschickt, so Jackson.

Einen weiteren "Erfolgsfaktor" stellen dem Experten zufolge die kurzen Intervalle dar (im Schnitt alle fünf Tage bis eine Woche), in denen die Kriminellen neue Varianten des Trojaners ins Rennen schickten. Mit dieser Frequenz könnten Antiviren-Tools nur schwer Schritt halten, so dass viele Infektionen erst nach mehreren Wochen bemerkt würden. Dabei hätten sich viele der Opfer mehrmals hintereinander mit immer wieder neuen Varianten des Schädlings infiziert.

Wozu die im Rahmen der jüngsten Attacken entwendeten Daten genutzt wurden, ist nach Angaben von SecureWorks noch nicht geklärt. Die Art der Informationen spreche allerdings für Identitätsdiebstahl. (ComputerWoche/mja)