Mittwoch, 8. Juli 2015

Neuer Bank-Trojaner im Umlauf: F5 Networks analysiert "Slave"-Malware und veröffentlicht technische Details

Neuer Bank-Trojaner im Umlauf: F5 Networks analysiert München, 07. Juli 2015 - F5 Networks (NASDAQ: FFIV) hat eine neue Gefahrenquelle für Online-Banking-Nutzer entdeckt: Der sogenannte "Slave"-Trojaner wird von Cyberkriminellen für den Diebstahl von Credentials und der Identität, für IBAN-Manipulationen und automatische Überweisungen verwendet. Erstmals tauchte der in Visual Basic geschriebene Schädling im März auf. Inzwischen ist aber eine neue, deutlich ausgereiftere Variante im Umlauf. Beide Varianten haben die Sicherheitsexperten von F5 im firmeneigenen Security Operations Center (SOC) gründlich analysiert.
Die ursprüngliche Version von Slave tauscht lediglich per "Man-in-the-Browser in zwei Schritten die eingegebenen IBAN-Daten aus und ändert das Empfängerkonto bei einer Überweisung. Die neue Variante hingegen nutzt ausgefeilte Tarnmechanismen und Webinjektionen und ähnelt damit dem berüchtigten Trojaner-Baukasten "Zeus".

Slave kommuniziert mit einem Command & Control Server über einen im Browser erstellten Thread. Beim Browserstart verschickt die Malware einen HTTP-Request für die Webinjektion und erhält sie in Plain-Text als JSON-Objekt. Der Schadcode wird beim Online-Banking injiziert - und ist für jede Bank unterschiedlich. Die manipulierte Konfiguration bleibt dann im Browser gespeichert.

Slave kopiert sich selbst in den Autostart-Ordner und erstellt einen automatisch startenden sys.exe Registry-Eintrag. Um unerkannt zu bleiben, legt der Trojaner nach jedem Neustart einen als "Internet Explorer" getarnten Registry-Schlüssel mit einem zufällig en Namen an, der eine Kopie des Binary-Files der Malware startet und nach jedem Neustart anders heißt. Allerdings löscht der Schädling vorherige Einträge nicht, deshalb füllt sich die Registry schnell.

Slave zielt auf die drei gängigsten Webbrowser - Internet Explorer, Firefox und Chrome. Nach einer Infektion eines Browsers starten die anderen nicht mehr korrekt.

Umfangreiche, technische Details zur Funktionsweise von Slave gibt es im ausführlichen Report unter: https://devcentral.f5.com/d/f5-soc-slave-malware-analysis-report?download=true

ca. 2.000 Zeichen mit Leerzeichen

F5 Networks
Sibylle Greiser
Lehrer-Wirth-Straße 2

81829 München
Deutschland

E-Mail: s.greiser@f5.com
Homepage: http://f5.com/
Telefon: 0049 89-94383-0

Pressekontakt
Dr. Haffa & Partner GmbH
Axel Schreiber
Burgauerstr. 117

81929 München
Deutschland

E-Mail: postbox@haffapartner.de
Homepage: http://www.haffapartner.de
Telefon: 089 993191-0

Keine Kommentare:

Kommentar veröffentlichen

Hinweis: Nur ein Mitglied dieses Blogs kann Kommentare posten.