Ursnif klaut Anmelde-und Bankdaten
Wie zdnet.de unter Berufung auf Untersuchungen von IBM X-Force berichtete, testen Cyberkriminelle derzeit eine neue Version des Banking-Trojaners Ursnif. Die zur Gozi-Familie gehörende Malware vermittelt ahnungslosen Opfern, sie befänden sich auf der Webseite ihres Geldinstituts, obwohl sie bereits ihre Daten an die Hintermänner von Ursnif übergeben.
Die Forscher von IBM X-Force gehen nun davon aus, dass die aktuelle Version sich von den vorhergehenden deutlich unterscheidet und vermuten damit andere Hintermänner. Bereits im August tauchte die neue Version auf, die aber offensichtlich vorerst nur getestet wird. Anzeichen dafür sind die Verschleierungsbemühungen der Autoren. Unabhängig davon ist die Vorgängerversion von Ursnif immer noch aktiv.
Wie werden Nutzer betrogen?
Den Code, der für die Weiterleitung der Opfer auf von den Hackern kontrollierte Ressourcen benötigt wird, implementiert Ursnif in einer Konfigurationsdatei und nicht in seinem eigenen Code. Die Weiterleitung an sich soll für Nutzer nicht erkennbar sein.
Dazu erklärt Limor Kessem, Executive Security Advisor bei IBM:
„Die Malware erhält eine Live-Verbindung zur legitimen Website der Bank aufrecht, um sicherzustellen, dass die echte URL und das digitale Zertifikat in der Adressleiste des Opfers erscheinen“
„An diesem Punkt können die Angreifer Web-Injections nutzen, um Anmeldedaten, Authentifizierungscode und andere persönliche Informationen zu stehlen, ohne die Betrugserkennung der Bank auszulösen.“
Der Infektionsweg
Verbreitet wird Ursnif offenbar über Phishing-E-Mails. Sie enthalten angeblich eine Auftragsbestätigung, die der Empfänger öffnen und unterschreiben soll. Fällt er auf den Trick herein und öffnet das Dokument, infiziert er seinen Rechner mit der Schadsoftware.
