Trend Micro: Neue Banking-Malware nutzt Netzwerk-Sniffer für Datendiebstahl

Trend Micro hat eine neue Banking-Malware entdeckt. Sie wird unter anderem über an deutsche Nutzer gerichtete Spam-Nachrichten verbreitet. Eine Besonderheit des als Emotet bezeichneten Schadprogramms ist ein integrierter Netzwerk-Sniffer, der alle Aktivitäten im Netzwerk überwacht, um persönliche Informationen zu stehlen.

Die Spam-Nachrichten beschäftigen sich Trend Micro zufolge mit angeblichen Überweisungen, die ein Nutzer getätigt haben soll, oder enthalten Rechnungen für Online-Einkäufe. Sie sollen Nutzer verleiten, auf eingebettete Links zu klicken, die wiederum zu einem Download der Emotet-Malware führen.

Ist es der Schadsoftware gelungen, sich in einem System einzunisten, lädt sie weitere Komponenten nach. Darunter ist auch eine Konfigurationsdatei, die Informationen über bestimmte Banken enthält, auf die die Malware ausgerichtet ist. Analysen verschiedener EMOTET-Varianten hätten gezeigt, dass unter anderem Banken in Deutschland auf der Liste der zu überwachenden Websites stehen, schreibt Trend Micro in einem Blogeintrag.

EMOTET lädt auch eine DLL-Datei herunter, die in alle laufenden Prozesse eingefügt wird. Sie soll jeglichen ausgehenden Netzwerkverkehr abfangen und aufzeichnen. Habe sie Zugriff auf den Browser, vergleiche sie die aktuell angezeigte Website mit den Angaben in der zuvor geladenen Konfigurationsdatei. „EMOTET kann sogar Daten abhören, die über gesicherte Verbindungen gesendet werden“, da es sich an verschiedene Netzwerk-APIs ankoppeln könne, so Trend Micro weiter.

„Diese Art des Informationsdiebstahls in bemerkenswert, da andere Banking-Malware meist auf Eingaben in Formularen oder Phishing-Websites angewiesen ist, um Daten zu stehlen“, ergänzte Trend Micro. „Der Einsatz von Netzwerk-Sniffern erschwert zudem eine Entdeckung der schädlichen Aktivitäten durch Nutzer, da keine Manipulationen sichtbar sind (wie beispielsweise ein zusätzliches Eingabefeld auf einer Phishing-Seite). Darüber hinaus kann es sogar eine angeblich sichere Verbindung wie HTTPS umgehen, was eine Gefahr für persönliche Informationen und Anmeldedaten für Online-Banking darstellt.“

Des Weiteren nutzt EMOTET die Registrierungsdatenbank von Windows, um Dateien und gestohlene und anschließend verschlüsselte Nutzerdaten zu speichern. „Die Speicherung von Dateien und Daten in Registry-Einträgen kann als Methode angesehen werden, um einer Erkennung zu entgehen. Normale Nutzer prüfen ihre Registrierungsdatei nicht auf mögliche schädliche oder verdächtige Aktivitäten, im Gegensatz zu neuen und ungewöhnlichen Dateien. Das kann aus demselben Grund auch als Gegenmaßnahme zu einer signaturbasierten Erkennung durch eine Antivirensoftware dienen.“

Wie EMOTET die gesammelten Daten an seine Hintermänner sendet, hat Trend Micro nach eigenen Angaben aber noch nicht herausgefunden. Die meisten Infektionen habe man in Deutschland entdeckt. Andere europäische Länder sowie Nordamerika und der asiatisch-pazifische Raum seien aber auch betroffen.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de