Cyberkriminelle sind fast immer hinter Geld her. In den letzten Jahren war Ransomware, welche Daten der Opfer verschlüsselt, ein beliebter Weg um an Geld zu kommen, aber dabei muss das Opfer immer noch entscheiden, Lösegeld zu zahlen. Da ist es doch viel simpler, das Geld direkt aus dem Bankkonto des Opfers zu holen.

Die meiste Malware, welche zurzeit in der Schweiz verbreitet wird, wird über sogenannte Malspam-Kampagnen verbreitet. Dabei handelt es sich um Emails, welche dafür sorgen, dass die Malware auf den Computer des Opfers geladen wird. Viele dieser Emails geben vor, von einer bekannten und vertrauenswürdigen Firma oder sogar Bundesbehörden zu kommen, wobei letztere Taktik vor allem seit 2017 an Beliebtheit gewinnt. Es ist darum wichtiger denn je, beim Öffnen von Emails und Anhängen vorsichtig zu sein und nie Macros in Office-Dokumenten aus Emails zuzulassen.

Es ist schwierig, die genaue Verbreitung einer Malware zu messen, da diese ja nicht etwa freiwillig einen Fragebogen ausfüllen. Verschiedene Firmen und Regierungsbehörden in der ganzen Welt versuchen es trotzdem und basierend auf diesen Daten wurde diese Liste erstellt, welche die zurzeit wichtigsten Banktrojaner in der Schweiz darstellt.

Retefe

Retefe hat die Schweiz schon seit Jahren im Visier und zeigt keine Anzeichen dafür, nachzulassen. In der ursprünglichen Version manipulierte die Malware die DNS-Einstellungen des infizierten Systems und installierte ein Root-Zertifikat, um eine Man-in-the-Middle Attacke durchzuführen. Über die Jahre hinweg wurde es komplexer, funktioniert aber immer noch auf eine sehr simple Art, da es dadurch den Antivirenprogrammen schwieriger gemacht wird, Retefe zu entdecken. Retefe installiert eine Proxy Auto-Configuration (PAC) und TOR (oder benutzt einen TOR-to-Web Proxy), damit es den Netzwerkverkehr zu den betroffenen Banken abfangen und modifizieren kann. Seit 2017 hat Retefe auch die Fähigkeit sich durch das lokale Netz zu verbreiten, indem es den EternalBlue Exploit ausnutzt.

Ein Alleinstellungsmerkmal von Retefe ist, dass es eine Androidkomponente hat, welche die Benutzer auf ihre Smartphones herunterladen und installieren sollen. Damit kann Retefe SMS-basierte mTANs abfangen und so vollen Zugang zum Bankkonto des Opfers erlangen.

Dridex

Dridex ist auch schon ähnlich lange aktiv und verwendet eine verwandte Technik, um seine Opfer auf eine gefälschte Webseite zu locken. Statt direkt die DNS-Einstellungen zu manipulieren, nutzt Dridex DNS Cache Poisoning. Die gefälschte Webseite, welche möglichst genau so aussieht wie das Original, verlangt vom Benutzer, dass er sich einloggen soll und verschafft dem Command-and-Control Server durch zusätzliche Injektionen genug Zeit, um die Logindaten in Echtzeit zu überprüfen. Dridex greift ausserdem Offlinezahlungssoftware an, welche oft von Firmen verwendet wird um grosse Sammlungen an Zahlungen an Banken zu überweisen, und lädt zusätzliche Malware auf den Computer, um solche Programme anzugreifen.

Ursnif / Gozi ISFB

Ein weiteres Mitglied der üblichen Verdächtigen ist Ursnif, auch als Gozi und Gozi ISFB bekannt. Ursnif injiziert sich in explorer.exe und verwendet Named Pipes (mit zufällig generierten Namen), um mit Browsern zu kommunizieren. Da es modular aufgebaut ist, kann Ursnif verschiedene Techniken anwenden um seine Opfer anzugreifen. Es kann beispielsweise eine VNC-Verbindung öffnen, sobald der Benutzer eine bestimmte Webseite besucht. Der Angreifer kann dann beobachten, was der Benutzer tut und so mehr Informationen gewinnen. Ursnif wird nicht nur durch Malspam verbreitet, sondern seit letztem Jahr auch durch sogenanntes Malvertising, manipulierte Onlinewerbung, welche zu infizierten Downloads von verbreiteter Software wie Java oder Firefox. Wie Dridex greift auch Ursnif Offlinezahlungssoftware an.

Zeus und Zeus Panda

Zeus, ob im Original oder der Panda-Variante, nutzt ebenfalls ein grosses Spektrum an Methoden um seine Ziele zu erreichen. Ob Aufzeichnen von Tastatureingaben, Ausführen eines VNC-Clients oder, in neueren Versionen, Handys infizieren, um 2-Faktor Authentisierung abzufangen, Zeus nutzt alles. Es injiziert sich auch in legitime Prozesse und klinkt sich in Windows-APIs ein, um so den Browser zu manipulieren. Die Panda-Variante fügt dem noch zusätzliche Man in the Browser_-Fähigkeiten hinzu, welche beispielsweise einen _Overlay in eine Webseite injizieren oder die Zwischenablage des Nutzers stehlen.

Zeus Panda benutzt dabei auch Social Engineering, indem es dem User eine Meldung anzeigt, welche behauptet, dass das Bankkonto des Nutzers gesperrt werden soll. Der Grund dafür sei, dass jemand fälschlicherweise Geld auf das Konto des Opfers überwiesen habe und dieses nun manuell zurückgesendet werden müsste um die Sperrung zu verhindern. So schickt das Opfer dann selber das Geld an die Kriminellen.

TrickBot

TrickBot nutzt ebenfalls Webinjektionen, sucht sich aber auch Informationen aus anderen Quellen, wie beispielsweise Emails oder Windows selber, in dem es Mimikatz einsetzt. Dazu kommt, dass sich TrickBot mittels EternalBlue und EternalRomance selber durch infizierte Netzwerke verbreitet und auch gesäuberte PCs erneut infiziert, bis die Schwachstellen gefixt werden. Zu all dem kommt noch hinzu, dass TrickBot auch Bitcoin-Wallets angreift.

Wenn TrickBot einmal gestartet ist, versteckt es sich mittels einer Technik namens Process Hollowing, Prozessaushöhlung, bei der TrickBot einen suspendierten Prozess startet und dann dessen Speicher mit TrickBots Daten ersetzt. Danach wird der Prozess wieder ausgeführt.

Ramnit

Ramnit unterscheidet sich von den anderen auf dieser List einerseits dadurch, dass es Persistenz erreicht, indem es Dateien auf dem System verändert, aber vor allem auch dadurch, dass es den infizierten Computer nach Zugangsdaten durchsucht, welche ein Plaintextdateien abgelegt sind.

BackSwap

Der neuste Trojaner auf dieser Liste ist noch schwer detektier- und abwehrbar, da er Benutzereingaben und Tastatureingaben simuliert um den Browser zu manipulieren. Ebenso neu ist, dass er javascript: URLs benutzt um JavaScript zu injizeren. Was nicht neu ist, sind die tatsächlichen Manipulationen, welche BackSwap vornimmt. Diese ähneln dem Werk von Zeus und anderen. Interessanterweise ist BackSwap häufig in modifizierten Versionen legitimer Software enthalten, insbesondere auch Software, die fast nur von eher technikaffinen Benutzern eingesetzt wird, wie OllyDbg, 7Zip oder DbgView.

Emotet

Als wären alle diese verschiedenen Malwares und Tricks nicht ausreichend, ist es mittlerweile nicht mehr unüblich, dass die Malwares kooperieren. Emotet, welches selber ein Banktrojaner ist und Informationen selber stehlen kann, wurde mit Dridex, TrickBot, Zeus und anderen kombiniert eingesetzt und ist auch nicht die einzige Malware, welche dabei beobachtet wurde. Es wurden bereits bis zu drei verschiedene Malwares auf einem System entdeckt, welche gemeinsam Daten und damit Geld für die Kriminellen sammelten.

Dies scheint Teil eines Trends zu sein, bei dem die Schöpfer der Malware diese nicht mehr selber einsetzen, sondern sie verkaufen oder vermieten. Andere Kriminelle führen dann die Malspam und Malvertising Kampagnen durch und verteilen so die Malware. Dadurch sind die Schöpfer der Malware besser geschützt davor, entdeckt und verklagt zu werden, damit sie länger an derselben Malware arbeiten können und diese so besser zu machen.

Verteidigung gegen Banktrojaner

Es ist natürlich auch sehr wichtig, darüber zu reden, wie man sich vor Angriffen durch Bankenmalware schützen kann. Der erste Schritt dabei ist es, seine Software auf dem neusten Stand zu halten. Nahezu jede Malware benötigt irgendwo in ihrer Funktionsweise einen Exploit und die Gefahr durch Exploits kann man durch regelmässiges Updaten klar verringern.

Die zweitbeste Verteidigung ist es, beim Lesen von Emails vorsichtig und misstrauisch zu bleiben. Wenn man sich darin übt, Phishing-Mails und bösartige URLs zu erkennen, kann man viel Malware daran hindern, überhaupt erst den eigenen PC zu erreichen. Speziell im Unternehmensumfeld kann dies durch Betriebssystem- und Anwendungshärtung unterstützt werden. Indem beispielsweise verhindert wird, dass Office überhaupt Makros ausführt, kann einer der beliebtesten Malwarevektoren komplett blockiert werden. Ebenso hilft es, wenn man lernt, gefälschte Webseiten zu erkennen und ist oft nicht komplizierter als die URL genau zu lesen und Schreibfehler oder seltsame Subdomänen zu bemerken.

Das Einrichten von Zwei-Faktor Authentisierung ist ebenfalls wertvoll. Auch wenn es mittlerweile Trojaner gibt, welche versuchen, MFA zu umgehen, sind diese doch in der Minderheit. Zudem ist es selbst dann ein weiterer Schritt, den es zu übernehmen gilt, ein weiterer Schritt, bei dem der Benutzer merken kann, dass da etwas nicht stimmt. Passwortmanager und gute Passwörter helfen ebenfalls. Ein Passwort, dass man nie eintippt, sondern immer nur aus dem Passwortmanager kopiert, kann nicht von einem Keylogger gestohlen werden, und ist auch nicht in einer Plaintextdatei gespeichert.

Der Ruf von Antivirenprogrammen hat in der letzten Zeit gelitten und Banktrojaner bemühen sich redlich, sie zu umgehen aber nichtsdestotrotz hilft ein Virenschutz dabei, ihren PC abzusichern. Es sind nicht immer nur die allerneuesten Virenstämme, welche im Einsatz sind, und alle bereits bekannten Varianten werden von Antivirenprogrammen gut erkannt. Zudem werden auch die neusten Varianten gelegentlich von Antivirenprogrammen erkannt. Darauf kann man sich zwar nicht verlassen, aber es ist doch gut, wenn es vorkommt.

Im Geschäftsumfeld ist die Netzwerküberwachung ein weiteres Werkzeug im Verteidigungswerkzeugkasten. Viele Command-and-Control Server, welche von Malware kontaktiert werden sollen, sind über bizarre URLs erreichbar, welche detektiert und geblockt werden können. Es ist zwar schwer, jeglichen Traffic von Malware zu erkennen, aber es geht oft, und ist ein wertvoller Teil einer Defense in Depth.

Über den Autor

Mark Zeman hat seinen Master of Science in Engineering mit Vertiefung Information and Communication Technologies an der Fachhochschule Nordwestschweiz absolviert. Seit 2017 hat er seine Passion im Bereich Information Security zu seinem Fokus gemacht. Unter anderem hat er schon während seinem Bachelorstudium bei einer Email-Sicherheitsfirma gearbeitet. (ORCID 0000-0003-0085-2097)

Links

• https://vuldb.com/de/?id.98019
• https://vuldb.com/de/?id.98022