Sicherheitswarnung: Neuer Banking-Schadcode räumt Bankkonten leer
"BackSwap" befällt Browser und liest heimlich alle Eingaben mit
Eset warnt vor der neu entdeckten Banking-Malware "BackSwap". Sie nutzt eine ebenso einfache wie perfide Methode, um sensible Banking-Daten zu erschleichen und positioniert sich dazu direkt im Browser der Opfer. Gleichzeitig hebelt die Malware technologische Abwehrmaßnahmen im Browser gezielt aus.
"BackSwap" verwendet eine besonders einfallsreiche Technik, um an die vertraulichen Banking-Informationen der Opfer zu gelangen: Statt aufwändige Code-Infizierungsmethoden zur Browserüberwachung einzusetzen, hängt sich die Malware direkt in die angezeigten Nachrichtenfenster des Browsers. Dort simuliert der Trojaner Nutzereingaben, um Banking-Aktivitäten aufzuspüren.
Sobald er solche Aktivitäten erkennt, wird schädlicher JavaScript Code injiziert, entweder über die JavaScript-Konsole oder direkt in die Adresszeile des Browsers. All das geschieht unbemerkt vom Nutzer.
"Diese scheinbar einfache Angriffsmethode ist tatsächlich in der Lage, sämtliche derzeitigen Browserschutzmaßnahmen auszuhebeln" sagt Eset Security-Experte Thomas Uhlemann. Für die Attacke lassen sich Google Chrome, Mozilla Firefox und seit kurzem auch Internet Explorer missbrauchen. "Im Prinzip ist auch jeder andere Browser anfällig, der die JavaScript-Konsole aktiviert hat oder das Ausführen von JavaScript aus der Adresszeile erlaubt. Beides sind Standardfeatures moderner Browser" so Uhlemann.
Den von den Cyberkriminellen für den Angriff eingesetzten JS/TrojanDownloader.Nemucod haben die Eset-Experten im Januar 2018 noch vorrangig beim Einsatz von Clipboard Malware beobachtet, die Kryptowährungs-Wallet-Adressen in der Zwischenablage des Systems austauschte. Die erste Version der Banking Malware Win32/BackSwap.A wurde im März entdeckt. Verteilt wird BackSwap vor allem über Spam-Mails, die Nemucod als verschleiertes Script beinhalten. Eset hat die betroffenen Browserhersteller über die neue Angriffstechnik informiert.
Momentan schlägt die Banking-Malware vor allem in Polen zu, der verschleierte JavaScript Downloader Nemucod adressiert derzeit noch hauptsächlich polnische Nutzer. Die Eset-Experten verzeichnen jedoch auch eine zunehmende Angriffstätigkeit in der D-A-CH-Region sowie in UK und Dänemark. (Eset: ra)
Eset: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Meldungen: Aktuelle Meldungen
Eine Forschungsgruppe mit NetScout, Akamai, Cloudflare, Shadowserver, Black Lotus und anderen führenden IT-Sicherheitsgruppen hat gemeinsam einen Warnhinweis herausgegeben. Darin wird ein neuer DDoS-Vektor aufgedeckt, der Unternehmen im Finanzsektor, ISPs, Logistik, Glücksspiel und andere betrifft.
Die Sicherheitsforscher von Check Point Research (CPR) haben eine laufende Spionage-Operation aufgedeckt, die auf die afghanische Regierung zielt. Die Bedrohungsakteure, die einer chinesischsprachigen Gruppierung zugeordnet werden, gaben sich als das Büro des afghanischen Präsidenten aus, um den afghanischen Nationalen Sicherheitsrat (NSC) zu infiltrieren. Sie nutzten den Dienstleister für Datenaustausch namens Dropbox, um ihre Aktivitäten zu verschleiern. CPR geht davon aus, dass dies der jüngste Fall einer länger andauernden Operation ist, die bis ins Jahr 2014 zurückreicht und der auch die Regierungen von Kirgisistan und Usbekistan zum Opfer gefallen sind. Im April 2021 erhielt ein Beamter des Nationalen Sicherheitsrats Afghanistans eine E-Mail, die angeblich vom Büro des Präsidenten von Afghanistan stammte. Sie forderte den Empfänger auf, die Änderungen in dem Dokument im Zusammenhang mit einer bevorstehenden Pressekonferenz des NSC zu überprüfen.
Es gibt wieder verstärkt Aktivitäten der Dridex-Malware. Diese bereits einige Jahre alte Schadsoftware macht zurzeit in Excel-Dateien die Runde, die per Mail verschickt werden. Dabei hat der Schädling es vor allem auf Passwörter und andere Nutzerdaten abgesehen. "Wenn das Wochenende vor der Tür steht, lässt bei vielen Nutzern die Wachsamkeit deutlich nach. Das machen sich Kriminelle zunutze", sagt Tim Berghoff, Security Evangelist bei G Data CyberDefense. Die Schadsoftware mit dem Namen "Dridex" ist für G Data kein unbeschriebenes Blatt – bereits 2015 haben wir über diese Malware berichtet. Wie damals versteckt sich das Schadprogramm auch in diesem Fall in einer Office-Datei, getarnt als Versandbestätigung. Heruntergeladen wird die eigentliche Malware über ein eingebettetes Makro, welches sich hinter der "Drucken"-Funktion verbirgt.
Die Sicherheitsforscher von Check Point Software Technologies beobachten die Rückkehr eines alten Bekannten: des Backdoor-Trojaners Bandook. Zuletzt prominent wurde dieser durch die Malware-Kampagnen Operation Manul (2015) und Dark Caracal (2017). Nun scheint die Malware-Familie ein Revival zu feiern. Die Ziele, welche Check Point im Rahmen der neuen Kampagne identifizieren konnte, sind breit gefächert: Regierungs-, Finanz-, Energie-, Lebensmittel-, Gesundheits-, Bildungs-, IT- und Rechtseinrichtungen sind betroffen – unter anderem in Deutschland, der Schweiz und Italien. Dieses breite Spektrum lässt die Sicherheitsexperten darauf schließen, dass sich hinter den Angriffen nicht nur eine Hacker-Gruppierung im Alleingang verbirgt, sondern eine Organisation, welche Malware an verschiedene Bedrohungsakteure, wie staatliche Hacker, verkauft.