Odinaff: Neuer Banking-Trojaner überwacht Netzwerke und stiehlt Anmeldedaten

Die erst jetzt entdeckte Malware ist seit Januar im Umlauf. Sie erstellt Screenshots und späht auch Mitarbeiter von Finanzinstituten aus. Forscher finden mögliche Verbindungen zu den Hintermännern der Banking-Malware Carbanak.

Ein bisher unbekannter Banking-Trojaner, der Finanzinstitute weltweit ins Visier nimmt, wird derzeit von Cyberkriminellen benutzt, um Netzwerke auszuspionieren und Anmeldedaten zu stehlen. Die Odinaff genannte Malware ist einer Untersuchung von Symantec zufolge schon seit Januar im Umlauf. Sie ist außerdem in der Lage, die Aktivitäten von Mitarbeitern zu überwachen und aufzuzeichnen.

Malware (Bild: Shutterstock)Die Hintermänner des Trojaners nutzen verschiedene Techniken, um in die Netzwerke potenzieller Opfer einzudringen. In den meisten Fällen versuchen sie, Mitarbeiter zum Öffnen speziell präparierter Dokumente zu verleiten, die gefährliche Makros enthalten. Warnmeldungen zu Darstellungsfehlern sollen Betroffene beispielsweise dazu bringen, die Ausführung von Makros zuzulassen – ab Werk sind Makros in Office-Anwendungen wie Word deaktiviert. Odinaff wird aber auch über passwortgeschützte RAR-Archive verbreitet.

Wie die schädlichen Dateien auf die Rechner ihrer Opfer gelangen ist indes nicht geklärt. Die Symantec-Forscher vermuten, dass dabei überwiegend Spear-Phishing-E-Mails zum Einsatz kommen.

Um seine vierfältigen Aufgaben erledigen zu können, verfügt Odinaff zudem über maßgefertigte Malware-Tools. Beispielsweise zeichnet der Trojaner in vorgegebenen Intervallen von 5 und 30 Sekunden Screenshots auf und verschickt sie an einen Befehlsserver. Hat Odinaff ein System kompromittiert, installiert er zudem eine weitere Schadsoftware namens Batel. Sie kann Schadcode ausschließlich im RAM ausführen, was es ihr erlaubt, unerkannt im Hintergrund zu agieren.

Die Steuerung von Odinaff sowie das Ausführen der einzelnen Komponenten benötigt der Analyse zufolge viele manuelle Eingriffe. Neue Malware-Tools werden beispielsweise nur heruntergeladen und installiert, wenn sie tatsächlich benötigt werden. Die Forscher vermuten deswegen, dass den Cyberkriminellen umfangreiche Ressourcen zur Verfügung stehen.

Die Hintermänner von Odinaff wiederum stehen möglicherweise in Verbindung mit den für den Banking-Trojaner Carbanak verantwortlichen Hackern. Dafür spricht, dass drei IP-Adressen der Odinaff-Befehlsserver auch im Zusammenhang mit Carbanak-Kampagnen erfasst wurden. Eine IP-Adresse wurde zudem beim Einbruch in die Systeme der Oracle-Tochter Micros registriert.

Rund ein Viertel der Odinaff-Opfer fanden die Symantec-Forscher in den USA. 20 Prozent der Ziele kommen aus Hongkong. Weitere 19 Prozent entfallen auf Australien. Auch Banken in Großbritannien, der Ukraine und Irland sind betroffen.

ANZEIGE

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Cybercrime, Hacker, Malware, Security, Sicherheit, Symantec

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Stefan Beiersmann
Autor: Stefan Beiersmann
Freier Mitarbeiter
Stefan Beiersmann
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Odinaff: Neuer Banking-Trojaner überwacht Netzwerke und stiehlt Anmeldedaten

Kommentar hinzufügen
  • Am 12. Oktober 2016 um 23:17 von Singuld

    Keine Panik!

    Wir haben doch nichts zu verbergen!

    lol

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *