Passwort-Diebstahl von E-Gold-Kunden und Nutzern virtueller Tastaturen

Der Panda Software Malware Wochenrückblick
(PresseBox) (Duisburg, ) Trojaner entwickeln sich immer weiter zu Malware-Experten im Bereich des Passwort-Diebstahls. Die zwei Trojaner „Goldun.LC“ und „Banbra.DCY“, die im heutigen Panda Software Malware Wochenbericht vorgestellt werden, zeigen zwei verschiedene Methoden zum Entwenden der begehrten Logins zu Bankkonten. Der Wurm „Lootseek.JJ“ beschert seinem Programmierer ebenso finanzielle Profite über den Versand von Spam-Mails.

Goldun.LC
Der Trojaner „Goldun.LC“ installiert sich als Internet Explorer BHO (Browser Helper Object) getarnt. Seit einer Woche ist er nun auf der Suche nach E-Gold-Kunden, denen er versucht Zugangsdaten für den Zugriff auf die entsprechenden Konten zu entlocken. E-Gold ist ein amerikanisches Micropayment-System, das zum Sichern der Kontodaten bei einer Internetübermittlung das Verschlüsselungsprotokoll SLL-Standard verwendet.
Mit dem Öffnen einer Webseite wird auch der Trojaner aktiviert. Wenn einer der angegriffenen User tatsächlich Kunde von E-Gold ist, erfasst Goldun.LC die Tastaturanschläge des Users bei der Eingabe des Logins und versendet die gestohlenen Daten über einen TCP Port an einen anderen Computer. Wie die meisten Trojaner, kann sich auch die LC-Variante der Goldun-Familie nicht selbständig verbreiten. Der Schädling verbirgt sich bei seinen Angriffsversuchen in einer .bmp Datei im Anhang von E-Mails.
Die Anwesenheit des Trojaners lässt sich anhand der angezeigten Nachrichten über wirtschaftliche Transaktionen oder Bankabrechnungen leicht nachvollziehen.

Lootseek.JJ
Der Wurm Lootseek.JJ wurde vergangenen Dienstag zum ersten Mal von den PandaLabs registriert. Die Kommunikation mit seinem Programmierer erfolgt über einen IRC Server. Über diese Verbindung erhält der Wurm „ferngesteuerte Befehle“ bezüglich seines Vorgehens auf dem infizierten Rechner. Um den betroffenen Computer als Plattform zum Versenden von Spam-Mails nutzen zu können, lädt er den Trojaner „Rizalof.HV“ herunter, der unerwünschte Nachrichten an eine aus dem Internet herunter geladene Liste von Empfängern verschickt.
Indem der Wurm Kopien sowohl seines eigenen Codes als auch anderer Exemplare der Rizalof-Familie in freigegebenen Laufwerken erstellt, verbreitet er sich innerhalb des jeweiligen Netzwerks. Für den betroffenen User ist eine Infizierung nicht zu erkennen, da keine Nachrichten oder Warnungen angezeigt werden.

Banbra.DCY
Kunden der brasilianischen Banken „Banco Brazil“, „Itau“, „Caixa Economica“ und „Unibanco“ sollten dieser Tage besonders vorsichtig sein, wenn sie ihre Bankgeschäfte online erledigen. Alle aufgeführten Banken nutzen bei der Passwort-Eingabe Virtual Keyboards, d.h. dass User ihr Passwort nicht über die Tastatur eingeben, sondern auf einer der Tastatur nachempfundenen Grafik auf dem Bildschirm die entsprechenden Zeichen anklicken. Diese Methode schützt vor Trojanern, die Tastaturanschläge mitprotokollieren.
Mit dem Erscheinen von Banbra.DCY wurde nun auch diese Schutzmaßnahme als nicht 100%ig sicher entlarvt. Der Trojaner kopiert das User-Passwort, indem er einen Screenshot des entsprechenden Bildschirmbereiches der Mausanzeige während der Login-Eingabe erstellt und diesen in einer Video-Datei im .avi-Format abspeichert.
Die Verbreitung des Banbra-Trojaners erfolgt über E-Mail-Anhänge, Floppy Disks, CD-ROMs, Internet Downloads, FTP, P2P, etc. Eine Infizierung ist für den User schwer erkennbar, da keine sichtbaren Anzeichen dafür geliefert werden.

Kontakt

Panda Security Germany
Dr. Alfred-Herrhausen-Allee 26
D-47228 Duisburg
Margarita Mitroussi
Presse
Presse und PR
Social Media