Banking-Malware EMOTET greift Daten mittels Netzwerk-Sniffer ab

Elektronisches BezahlenMarketingSicherheitVirus
Malware (Bild: Shutterstock / Maksim Kabakou)

Laut Trend Micro werden mit ihr derzeit vor allem Nutzer in Deutschland attackiert. Sie werden wie üblich mit Spam-E-Mails angeschrieben. Darin sollen angebliche Überweisungen zum Klick auf einen Link und so zum Download der Malware EMOTET verleiten. Neu ist aber das raffinierte Vorgehen der Malware im Anschluss.

Trend Micro hat vor einer neuen Banking-Malware gewarnt. Sie soll über Spam-Nachrichten unter anderem deutschen Nutzern untergejubelt werden. Das als EMOTET bezeichneten Schadprogramm bringt einen Netzwerk-Sniffer mit, der alle Aktivitäten im Netzwerk überwacht, um sich so Informationen zu erschleichen. Wie EMOTET die gesammelten Daten an seine Hintermänner sendet, hat Trend Micro noch nicht herausgefunden. Die meisten Infektionen habe man in Deutschland entdeckt, andere europäische Länder sowie Nordamerika und Asien seien aber ebenfalls betroffen.

Die Banking-Malware EMOTET wird unter anderem über E-Mails verbreitet, in denen die Angreifer sich an Kunden der Volksbank wenden  (Bild: Trend Micro).
EMOTET wird unter anderem über E-Mails verbreitet, in denen die Angreifer sich an Kunden der Volksbank wenden (Bild: Trend Micro).

In den Spam-Nachrichten geht es laut Trend Micro entweder um Überweisungen, die ein Nutzer vorgenommen haben soll, oder sie enthalten Rechnungen für Online getätigte Einkäufe. In beiden Fällen sollen Nutzer dazu verleitet werden, auf eingebette Links zu klicken, die allerdings zum Download der EMOTET-Malware führen.

Gelingt es der Schadsoftware, sich im System einzunisten, lädt sie weitere Komponenten nach. Dazu gehört auch eine Konfigurationsdatei, die Informationen über bestimmte Banken enthält, auf die die Malware ausgerichtet ist. Die Untersuchung mehrerer EMOTET-Varianten hat laut Trend Micro gezeigt, dass auch die Websites von Banken in Deutschland auf der Liste der zu überwachenden Websites stehen.

EMOTET lädt zudem eine DLL-Datei herunter, die in alle laufenden Prozesse eingefügt wird. Sie soll den gesamten ausgehenden Netzwerkverkehr abfangen und aufzeichnen. Habe sie Zugriff auf den Browser, vergleiche sie die aktuell angezeigte Website mit den Angaben in der zuvor geladenen Konfigurationsdatei. “EMOTET kann sogar Daten abhören, die über gesicherte Verbindungen gesendet werden”, da es sich an verschiedene Netzwerk-APIs ankoppeln könne, so Trend Micro weiter.

“Diese Art des Informationsdiebstahls ist bemerkenswert, da andere Banking-Malware meist auf Eingaben in Formularen oder Phishing-Websites angewiesen ist, um Daten zu stehlen”, ergänzt Trend Micro. “Der Einsatz von Netzwerk-Sniffern erschwert zudem eine Entdeckung der schädlichen Aktivitäten durch Nutzer, da keine Manipulationen sichtbar sind (wie beispielsweise ein zusätzliches Eingabefeld auf einer Phishing-Seite). Darüber hinaus kann es sogar eine angeblich sichere Verbindung wie HTTPS umgehen, was eine Gefahr für persönliche Informationen und Anmeldedaten für Online-Banking darstellt.”

EMOTET nutzt zudem die Registrierungsdatenbank von Windows, um Dateien und gestohlene und anschließend verschlüsselte Nutzerdaten zu speichern. “Die Speicherung von Dateien und Daten in Registry-Einträgen kann als Methode angesehen werden, um einer Erkennung zu entgehen. Normale Nutzer prüfen ihre Registrierungsdatei nicht auf mögliche schädliche oder verdächtige Aktivitäten, im Gegensatz zu neuen und ungewöhnlichen Dateien. Das kann aus demselben Grund auch als Gegenmaßnahme zu einer signaturbasierten Erkennung durch eine Antivirensoftware dienen.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen