KRBanker: Pharming als neue Gefahr beim Online-Banking

Keine Kommentare
 

Über einen Banking-Trojaner mit besonders raffinierter Vorgehensweise berichtete vor kurzem das Analyse-Team Unit 42 der Sicherheitsfirma Palo Alto Networks. Der vornehmlich in Korea aktive KRBanker, der auch unter dem Alias Blackmoon bekannt ist, wurde seit Ende September 2015 von den Analysten beobachtet und verbreitet sich seit Anfang 2016 noch rasanter als zuvor. Die Malware bringt Nutzer dazu, ihre Onlinebanking-Daten auf gefälschten Banking-Websites einzugeben. Mit dem Absenden der Formularinhalte landen diese direkt bei den Cyberkriminellen – meist völlig unbemerkt von ihren ahnungslosen Opfern.


Log In Interface

KRBanker: Pharming als neue Gefahr beim Online-Banking (pixabay.com/TBIT)

Die Verbreitung des Trojaners erfolgte während der vergangenen Monate zum einen über ein als KaiXin EK bekanntes Exploit Kit unter Ausnutzung zweier Sicherheitslücken in Adobe Flash. Zum anderen gelangte er auch mittels des Adware-Programms NEWSPOT auf die Rechner. NEWSPOT wirbt damit, den Umsatz von Online Shopping Sites um 300 % zu steigern. Seit November 2015 ist jedoch klar, dass die Adware nicht nur Werbeanzeigen im Browser einblendet, sondern auch zum automatisierten Malware-Download eingesetzt wird.

Umleitung durch geschickte DNS-Manipulation

Die Technik, die der Trojaner anwendet, um in den Besitz von Banking-Daten zu gelangen, wird als Pharming bezeichnet und unterscheidet ihn von anderen aktuellen Exemplaren dieser Malware-Spezies. Diese setzen meist auf Man-in-the-browser-Techniken, bei denen nach erfolgter Infektion Banking-Transaktionen modifiziert oder ohne das Wissen des Kontoinhabers durchgeführt werden. Pharming wiederum basiert auf dem Prinzip der unbemerkten Umleitung auf eine Website, die der aufgerufenen Seite zum Verwechseln ähnlich sieht.

Es gibt verschiedene Möglichkeiten, um eine solche Umleitung zu verschleiern. Sie alle basieren auf der Tatsache, dass bei der Eingabe einer URL in die Adresszeile des Browsers eine DNS-Anfrage gestellt wird, um die aufzurufende IP-Adresse anzufordern. Pharming-Angriffe legen es darauf an, die Zuordnung von IP-Adressen zu Hostnamen zu beeinflussen. Neben der Manipulation von DNS-Servern kommt zum Erreichen dieses Ziels auch die Veränderung der lokal auf dem Rechner gespeicherten hosts-Datei infrage, aus der das Betriebssystem noch vor einer DNS-Server-Anfrage festgeschriebene Zuordnungen von Hostnamen zu IP-Adressen ausliest. KRBanker machte sich in der Vergangenheit diese Tatsache zunutze, indem er neue Einträge in die hosts-Datei einfügte, die bei der Adresseingabe bekannter Onlinebanking-Websites den Aufruf von Pharming-Seiten veranlassten.

Laut Unit 42 wurde diese Vorgehensweise bei der aktuellen KRBanker-Variante durch eine noch raffiniertere ersetzt. Die Malware konfiguriert nun einen lokalen Proxyserver, über den der gesamte Netzwerkverkehr läuft. Anhand eines durch den Trojaner erstellten JavaScripts wird bei jeder Adresseingabe durch den Nutzer überprüft, ob eine der anzugreifenden Banking-Websites aufgerufen werden soll. Ist dies der Fall, so leitet der Proxy die Anfrage an eine Pharming-Seite im Onlinebanking-Gewand weiter. Da der übrige Netzwerkverkehr bei dieser Vorgehensweise nicht beeinträchtigt wird, schöpft der Nutzer mitunter keinen Verdacht.

Über Browser Security

Browser Security ist Ihr Browser-Add-on zum Schutz vor Phishing-Domains und gefährlichen Malware-Angriffen. Vertrauen Sie unserer Live-Protection und der E-Mail-Kontrolle für ein bedenkenloses Surf-Erlebnis und schützen Sie sich effektiv vor Datenklau!

 
Keine Kommentare

Kommentar hinterlassen