Krypto e.V.

Forscher der Security-Firma Finjan sind einem neuen Supertrojaner auf die Spur gekommen, der es insbesondere auf die Bankdaten und das Geld seiner Opfer abgesehen hat. Dabei geht die auf dem Toolkit LuckySpoilt basierende Malware “URLzone” so gevieft vor, nur einen gewissen Prozentsatz des auf einem Konto befindlichen Vermögens zu klauen, um nicht so schnell aufzufallen. Zusätzlich klinkt sie sich beim Online-Banking in den Browser ein und zeigt falsche Kontostände an, um den User in Sicherheit zu wiegen. Der Bank-Trojaner, der im übrigen auch in anderen Web-Accounts wie PayPal, Gmail und Facebook herumschnüffelt, besitzt Funktionen, die eigens dafür entwickelt wurden, Security-Software zu täuschen.

“Es handelt sich um einen Bank-Trojaner der nächsten Generation. Das ist Teil des neuen Trends, immer fortschrittlichere Malware zu programmieren, die für das Austricksen von Sicherheitssystemen optimiert ist”, sagt Ben Itzhak von Finjan. Auch der Sicherheitsexperte Toralv Dirro von McAfee stimmt ihm zu. “Der Trend geht eindeutig hin zu aufwändigeren Trojanern. Kriminelle Gruppen entwickeln das ganz gezielt weiter, heute arbeitet eine ganze Reihe von Trojanern so wie der Beschriebene. Man kann das als eine Art Wettrüsten zwischen den Cyberkriminellen, Banken und der Sicherheitsindustrie interpretieren”, sagt Dirro.

Zielgruppe des Trojaners waren die Kunden einiger deutscher Banken, die man vonseiten Finjans nicht nennen wollte. Insgesamt wurden mithilfe des Trojaners rund 300.000 Euro erbeutet. “Das halte ich noch für relativ wenig Beute, was wahrscheinlich an der relativ geringen Zahl der Infektionen lag. Normalerweise werden aber auch keine Informationen über die Höhe des finanziellen Schadens bekannt gegeben”, so Dirro. Die Server, von der die Malware gesteuert wurde, konnten in der Ukraine lokalisiert werden. “Das läuft über sogenannte Bulletproof-Hoster. Die gibt es weltweit. Sie sind teurer als andere Hoster und lassen ihre Kunden dafür hosten, was sie wollen. Sie behaupten, der Inhalt der Server sei Sache der Kunden und gehe sie nichts an”. Die deutschen Behörden sein bereits informiert worde sagt der Experte.

Die Security-Experten schafften es, die Kommunikation des Trojaners auf einem infizierten System abzuhören und auf diese Art den Kommandoserver aufzuspüren. Diesen hatten die Cyberkriminellen unvorsichtigerweise nicht ausreichend gesichert, wodurch die Security-Experten allerlei Daten über den Trojaner beschaffen konnten, darunter auch Statistiken zu den Infektionen. Insgesamt sollen rund 90.000 Computer die Seiten, auf denen der Schädling gehostet war, besucht haben. Davon infizierten sich 6.400 mit der Malware – eine Erfolgsquote von 7,5 Prozent. Von ein paar hundert der infizierten Computer wurde tatsächlich Geld gestohlen, insgesamt etwa 300.000 Euro. Nach 22 Tagen verschwand der Trojaner Ende August wieder – offenbar hatten die Cyberkriminellen bemerkt, dass man ihnen auf der Spur war.

Infiziert wurden die Computer auf zwei verschiedene Methoden. Zum einen erhielten Opfer E-Mails, in denen Links enthalten waren, die sie auf eine zur Verbreitung des Trojaners erstellte Website lotsten. Die zweite Möglichkeit, sich den Trojaner einzufangen, war der Besuch von durch die Malware unterwanderten Internetseiten. So oder so, der Schädling nutzte eine bekannte Sicherheitslücke in gängigen Internetbrowsern aus, um sich auf der Festplatte des Opfers einzunisten und dort bis zum Aufruf der Internetseiten der Zielbanken in eine Art Schläfermodus zu verfallen. Startet der Nutzer den Online-Banking-Dienste, wird die Malware aktiv. Sie kapert den Browser, analysiert den Kontostand, ermittelt einen Betrag, der ohne großes Aufsehen entwendet werden kann und überweist diesen auf das Konto eines Strohmanns, der einen kleinen Anteil an den erbeuteten Summen erhält. Anschließend wird der vom Nutzer beim Besuch der Banken-Website eigentlich erwartete Kontostand eingeblendet, wodurch dieser keinen Verdacht schöpft – zumindest solange er sich für seine Bankgeschäfte ausschließlich auf dem infizierten Computer anmeldet. Die Verwendung von Strohmännern scheint bei derartigen Angriffen gängige Praxis zu sein. “Diese sogenannten Mules sind ebenfalls Opfer. Das sind Leute, die auf dubiose Jobangebote als Finanzagent reinfallen. Sie werden in den meisten Fällen erwischt und wegen Geldwäsche angezeigt”, weiß Dirro. Den Hintermännern ist freilich sehr viel schwerer beizukommen.

Microsoft hat für heute, den offiziellen Start der Microsoft Security Essentials bekannt gegeben – eine kostenlose Antiviren-Lösung für Endanwender. “Die Microsoft Security Essentials sind ein konsequente Fortführung unserer Sicherheitsstrategie und -technologie”, sagt Microsoftsprecher Gerhard Göschl. Das Produkt richtet sich insbesondere an Endanwender, die sich eine kommerzielle AntiViren (AV) Lösung nicht leisten können oder wollen und daher auf adäquaten Schutz vor Schadsoftware verzichten. Mit dem kostenlosen Download will Microsoft erreichen, dass mehr Nutzer aktuellen Schutz vor Malware nutzen.

Zwar werden heute die meisten neuen Computer mit AV-Software ausgeliefert, doch handelt es sich dabei oft um Testversionen kostenpflichtiger Programme, so Göschl. Läuft die Testzeit ab, werden Nutzer zwar darauf hingewiesen – doch würden nach Microsoft-Erfahrung zu viele Nutzer aus Kostengründen auf Abo-Verlängerungen verzichten. “Dem Durchschnittsuser ist einfach zu wenig bewusst, dass die abgelaufene Software effektiv keinen Schutz mehr bietet”, betont Göschl. Zwar schützen die Produkte in der Regel weiter vor Bedrohungen, die bis zum Ablauf des Testabos aktuell waren. Doch gegen die Vielzahl neuer Gefahren, die im Rahmen der ungebremsten Malware-Explosion täglich auftauchen, helfen abgelaufene AV-Produkte nicht.

Sparsame Nutzer will Microsoft mit seinem neuen Gratis-Produkt ermuntern, doch aktuellen Virenschutz zu nutzen und somit für mehr Sicherheit zu sorgen. “Wir sind der Ansicht, dass wir damit ein gutes Paket anbieten, das in Kombination mit anderen Microsoft-Produkten guten Schutz bietet”, sagt Göschl. Zwar handle es sich nicht um eine komplette Security-Suite, doch sei beispielsweise eine Firewall in Windows Vista oder 7 und Phishing-Schutz in den aktuellen Internet Explorer integriert. Trotzdem sei es beispielsweise im Unternehmenssegment sinnvoll, deutlich mehr für die Sicherheit zu tun und auch manche Privatanwender bräuchten umfassendere Lösungen. “Für 90 Prozent der Enduser sind die Security Essentials aber wohl ausreichend”, so der Sicherheitsspezialist.

Für das Gratis-Produkt setzt Microsoft zum Einen auf Technologien, wie sie bereits in kommerziellen Sicherheitslösungen der Redmonder fürs Business-Segment zum Einsatz kamen. Außerdem wird erstmals das “Dynamic Signature Service” genutzt, das eine Online-Ergänzung zu täglichen Signatur-Aktualisierungen darstellt. “Der Dienst sucht nach verdächtigen Aktivitäten, wie beispielsweise Anwendungen, die plötzlich eine Internetverbindung aufbauen, obwohl sie das vorher nie getan haben”, erklärt Göschl. In solchen Fällen wird ein Server kontaktiert, um in Echtzeit zu ermitteln, was es mit der potenziellen Bedrohung auf sich hat.

Die Security Essentials wurden Microsoft zufolge vom AV-Testlabor West Coast Labs zertifiziert. Die finale Version der Software für Windows XP SP2 und SP3, Vista sowie 7 wird im Laufe des Tages auf der Webseite zur Verfügung stehen. Zunächst startet die Lösung in acht Sprachen und 19 Ländern, darunter Deutsch für die DACH-Region. Geplant ist, das Angebot noch 2009 auf weitere Länder auszuweiten und 2010 den globalen Rollout voranzutreiben.