Verschlüsselung & Datensicherheit

Banking–Trojaner Trickbot kann auch Passwörter

Der Banking-Trojaner Trickbot ist schon seit einigen Jahren aktiv. Nun haben die Sicherheitsforscher von Fortinet und Trend Micro entdeckt, dass sich die Schadsoftware weiterentwickelt hat. Ihr Ziel sind neuerdings nicht nur Bankdaten, sondern auch auf Passwörter, Cookies, Browser-Historien und sogar Autofill-Informationen.

Tarnung als Excel-Datei

Trickbot wird zumeist getarnt als Excel-Datei per E-Mail verteilt. Will der Nutzer das Dokument öffnen, gibt dieses vor, mit einer älteren Software-Version erstellt worden zu sein. Um diese mit der eigenen verwendeten Version kompatibel zu machen, werden entsprechende Berechtigungen gefordert, wie com-magazin.de dazu berichtete.

Wie Fortinet dazu erklärt beginnt damit das Verhängnis für den Nutzer, wenn er dieser Forderung nachkommt. Im Hintergrund wird der Trojaner auf das System geladen. Nach verschiedenen Zwischenschritten mit harmlos anmutenden Dateinamen kopiert sich der Schadcode selbst in den "Task Scheduler" des Systems. Nach kurzer Zeit schon sendet das Programm eine Anfrage an den Server der Angreifer, um ein weiteres Modul auf dem System des Opfers zu installieren. Dieses heißt je nach System pwgrab32 oder pwgrab64. Die Kriminellen können damit nicht nur Passwörter und Anmeldedaten abgreifen, sondern auch noch weitere Daten extrahieren.

Laut Trend Micro sind folgende Tools betroffen:

  • Microsoft Outlook
  • Filezilla
  • WinSCP
  • Google Chrome
  • Mozilla Firefox
  • Internet Explorer
  • Microsoft Edge

Das Fatale an Trickbot ist, dass er sich durch die Verbindung mit dem Comand-and-Controll-Server der Angreifer fortwährend aktualisiert. Dazu lädt die Malware kontinuierlich neue Module nach, so Trend Micro.

Passwörter in Passwortmanagern gelten als sicher

Positiv sei einzig die Tatsache, dass Trickbot auf die Passwörter, die in Passwortmanagern von Drittanbieter gespeichert sind, nicht zugreifen kann. Ob auch Kennwörter sicher sind, die sich in Browser-Plugins von Passwortmanagern befinden, wird derzeit noch überprüft, so Trend Micro.

Der Trojaner verwendet verschiedene Methoden, um von Virenscannern unentdeckt zu bleiben. Den Nutzern bleibt nur, E-Mails und deren Anhänge von unbekannten Absendern nicht zu öffnen. Dasselbe gilt für unerwartete Anhänge in den Mails vermeintlich bekannter Kontakte.

Verlangt eine angehängte Datei beim Öffnen Berechtigungen, um Makros auszuführen, sollte der Nutzer hellhörig werden und die Datei samt zugehöriger Nachricht umgehend löschen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben