Banking-Trojaner Dyre kann nun auch Windows-10-Nutzer angreifen

SicherheitVirus
Malware (Bild: Shutterstock / Maksim Kabakou)

Dyre fängt im Browser Anmeldedaten fürs Online-Banking ab. Das gelingt ihm nun auch bei Microsofts neuem und laut Anbieter sichererem Browser Edge. Die neue Variante der Malware soll bis zu 80.000 Rechner infiziert haben. Nach wie vor greift Dyre aber auch ältere Windows-Versionen und andere Browser an.

Der Banking-Trojaner Dyre hat einmal mehr seine Wandlungsfähigkeit und Flexibilität unter Beweis gestellt. Heimdal Security hat jetzt entdeckt, dass die Schadsoftware durch eine neuerliche Aktualisierung nun auch in der Lage ist, Windows 10 und den neuen Microsoft-Browser Edge erfolgreich anzugreifen. Das soll ihr dem Unternehmen zufolge bisher bei rund 80.000 Rechnern gelungen sein.

Die teiwleise auch als Dyreza oder Dyzap bezeichnete Malware Dyre verbreitet sich wie andere Malware auch in der Regel über Spam-E-Mails. Zudem wird sie Heimdal Security zufolge auch über den Downloader Upatre verteilt. Wie Cisco festgestellt hat gelangt Upatre meist als PDF-Dokument getarnt als Dateianhang auf einen Rechner.

Nach der Infizierung eines Rechners klinkt sich Dyre in Browser-Prozesse ein, um Verbindungen zu bestimmten Domains – meist die von Banken – zu überwachen. Dadurch hat die Malware die Möglichkeit, die Anmeldedaten auszuspähen, sobald sie in den Browser eingegeben werden. Laut Microsof hat es Dyre auf rund 150 Domains von US-amerikanischen und europäischen, darunter auch deutschen Banken, sowie mehrere Bitcoin-Websites abgesehen.

Der Softwarekonzern hat zudem bestätigt, dass die Hintermänner von Dyre nun auch Windows 10 und Edge ins Visier genommen haben. Die Malware sei aber weiterhin auch bei Chrome, Internet Explorer und Firefox aktiv. Eine Infektion mit Dyre könne man daran erkennen, dass sich im Ordner “Appdata\Local” eine ausführbare Datei (.exe) mit einem zufälligen alphanumerischem Namen befindet. Ein anderer Hinweis seien Meldungen der Firewall, Programme wie explorer.exe und svchost.exe benötigen höhere Privilegien.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp der Redaktion: Der Banking-Trojaner “Dyre” ist eine besonders wandlungsfähige Malware. Besonders auffällig sind Änderungen bei Spam-Vorlagen, URL-Randomisierung und JavaScript-Verschleierung sowie Versuche, Analyse- und Sandbox-Funktionen zu umgehen. Proofpoint-Managerin Monika Schaufler beschreibt im Expertenbeitrag für ITespresso das Vorgehen der Kriminellen.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen