Verteilung über Web Exploit‐Kits und Adware‐Kampagne
Wie verlautet ist die Malware bereits seit Ende September 2015 aktiv. Einen allmählichen Anstieg vermeldeten die Forscher seit Anfang 2016. Insgesamt konnten so in den letzten sechs Monaten fast 2.000 einzigartige Samples von KRBanker und über 200 Pharming‐Server‐Adressen erfasst werden. Die Analyse von Palo Alto Networks zeigt, dass KRBanker durch Web Exploit‐Kits und eine bösartige Adware‐Kampagne verteilt wird.
Das Exploit‐Kit, das für die Installation von KRBanker herangezogen wird, ist bekannt als KaiXin. Eine bösartige Adware, die zur Verbreitung des Exploit‐Kits eingesetzt wird, nennt sich NEWSPOT. Das Exploit-Kit KaiXin wurde in Südkorea beobachtet. Dort wurden über JavaScript, durch manipulierte Websites oder Werbeanzeigen, mittels Exploit-Kit die Schwachstellen CVE‐2014‐0569 oder CVE‐2015‐3133 in Adobe Flash ausgenutzt. Die Nutzlast in beiden Fällen war schließlich KRBanker. Der weitere Distributionskanal, die Adware NEWSPOT, wird damit beworben, 300 Prozent Umsatzwachstum für Online‐Shopping‐Sites zu generieren. Neben der Adware‐
Basisfunktion, Werbung in Browsern anzuzeigen, dient NEWSPOT mindestens seit November 2015 auch dazu, Malware zu installieren. Beim Besuch diverser koreanischer Websites, bemerken die Benutzer ein Pop‐up mit einem Browser‐Add‐on, das sie zur Installation von NEWSPOT auffordert.
KRBanker setzt auf Pharming-Technik
Wenn ein kompromittierter Benutzer auf eine der Bankenwebsites, die von den Kriminellen ins Visier genommen wurden, zuzugreifen versucht, wird der Verkehr auf eine gefälschte Website umgeleitet. Der falsche Banking‐Server fordert die Besucher auf, ihre Anmeldeinformationen zu senden. Die gefälschte Website erscheint dabei wie ihr legitimes Pendant und wird mit einer gültigen URL in der Adressleiste des Browsers angezeigt. Ziel ist jedoch, die Zugangs‐ und Kontodaten der Opfer zu stehlen.
Finanzieller Gewinn ist die primäre Motivation für Angreifer, die Banking‐Trojaner nutzen. Die Akteure, die hinter KRBanker stecken, haben neue Vertriebskanäle erschlossen, Pharming‐Techniken mehrfach weiterentwickelt und bringen täglich neue Varianten ins Spiel, um ihre Einnahmen auf Kosten der Opfer zu maximieren. Die Bedrohung wird verteilt durch Exploit‐Kits, die alte Schwachstellen und Adware nutzen, die manuell installiert werden muss. Daher ist es generell wichtig, die Infektionsvektoren solcher Kampagnen zu verstehen, um deren Auswirkungen gezielt zu minimieren.
Über Palo Alto Networks
Palo Alto Networks ist das Sicherheitsunternehmen der nächsten Generation und nimmt als solches die Führungsrolle in einer neuen Ära der Cybersicherheit ein. Palo Alto Networks ermöglicht bei Tausenden von Unternehmen weltweit die sichere Bereitstellung von Anwendungen und schützt vor Cyberangriffen. Dank eines innovativen Ansatzes und hochgradig differenzierter Funktionen zur Prävention von Cyberbedrohungen bietet unsere bahnbrechende Sicherheitsplattform ein Sicherheitsniveau, das herkömmlichen oder punktuell eingesetzten Produkten weit überlegen ist. Dadurch sind eine sichere Abwicklung des Tagesgeschäfts und der Schutz der wertvollsten Vermögenswerte eines Unternehmens gewährleistet.
