Neues Zeus-Botnetz stiehlt 36 Millionen Euro von europäischen Bankkunden

Cyberkriminelle haben in diesem Jahr mit einer neuen Variante des Trojaners Zeus europäische Bankkunden um 36 Millionen Euro erleichtert. Die von den Sicherheitsunternehmen Versafe und Check Point Software auf den Namen „Eurograbber“ getaufte Malware umgeht die Zwei-Faktor-Authentifizierung, die viele Banken bei Online-Transaktionen einsetzen, indem sie die von der Bank an das Handy der Kunden übermittelte Transaktionsnummer (TAN) abfängt.

Laut einem Bericht (PDF) der Sicherheitsanbieter wurde Eurograbber zuerst Anfang des Jahres in Italien entdeckt. Die 36 Millionen Euro seien von Konten von rund 30.000 Privat- und Geschäftskunden gestohlen worden. Die Kriminellen hätten sich pro Transaktion zwischen 500 und 250.000 Euro überwiesen.

Schaubild zur Infektion mit Eurograbber (Grafik: Check Point / Versafe)

Eurograbber verbreitet sich über schädliche Links, die zumeist in Phishing-E-Mails enthalten sind. Klickt ein Nutzer diese an, installieren sich auf seinem System Varianten der Trojaner Zeus, SpyEye und CarBerp. Besucht er anschließend die Website seiner Bank, wird er von der Malware aufgefordert, seine Handynummer anzugeben.

Kurz darauf erhält das Opfer auf seinem Handy einen Hinweis auf ein vermeintliches Sicherheitsupdate für seine Banking-Software. Führt er dieses aus, wird sein Android- oder Blackberry-Smartphone mit einer Variante des Trojaners „Zeus in the mobile“ (ZITMO) infiziert. Dadurch sind die Angreifer in der Lage, die von der Bank als SMS verschickte TAN abzufangen und Geld vom Konto des Opfers auf ihr eigenes zu überweisen.

„Bisher wurde dieser Exploit nur in den EU-Staaten entdeckt, aber eine Variante dieser Attacke könnte auch Banken in Ländern außerhalb der Europäischen Union betreffen“, schreiben Versafe und Check Point in ihrem Report. Betroffen Banken hätten sie über die Malware informiert.

Mitte November hatte hierzulande auch das Landeskriminalamt Berlin vor einer Angriffswelle auf Onlinebanking-Kunden gewarnt, die das SMS- oder mTAN-Verfahren nutzen. Dabei wurden die Konten der Opfer vollständig leer geräumt.

Die Polizei rät Onlinebanking-Kunden, keinesfalls blind vermeintlichen Aufforderungen ihrer Bank zu einem Sicherheitsupdate für ihr Handy zu folgen. Stattdessen sollten sie bei ihrer Bank nachfragen, ob die Aufforderung tatsächlich von ihr stammt. Dies gilt auch für sämtliche per E-Mail versandte Anfragen, die scheinbar von Bank- und Kreditinstituten kommen. Generell sollten Nutzer auf ihrem PC und Smartphone stets eine aktuelle Sicherheitssoftware installiert haben.

[mit Material von Steven Musil, News.com]