Sicherheitsforscher von IBM haben eine neue Schadsoftware entdeckt, die auf den Namen GozNym getauft wurde. Die Malware ist ein Hybrid aus den Trojanern Nymain und Gozi.
Anzeige
Der Schadsoftware, die vermutlich in Osteuropa entwickelt wurde, ist es Anfang April 2016 gelungen, binnen 3 Tagen 4 Millionen US $ von Bankkunden von 24 amerikanischen sowie kanadischen Banken zu erbeuten. Die Hacker haben dazu den Code von zwei bestehenden Schadprogrammen, Nymaim und Gozi, für die neue Malware GozNym kombiniert. Der so entstehende Trojaner nistet sich persistent in den Systemen ein und ist recht wirkungsvoll, wie IBMs X-Force Branch in dieses Bericht beschreibt.
(Quelle: IBM)
Neben Banken werden auch populäre E-Commerce-Plattformen und Sparkassen (Credit Unions) als Ziel adressiert. Der Codeteil von Nymaim (die Schadsoftware wurde erstmals 2013 entdeckt) ist ein sogenannter "Dropper", der zur browserbasierenden Infektion von Systemen und zum Nachladen weiterer Malware genutzt wird. Und Gozi (der Quellcode wurde 2010 öffentlich) tritt als Gozi ISFB-Variante auf. Dieser Teil der Schadsoftware wurde mit dem Ziel entworfen, Scripte beim Besuch einer infizierten Webseite im Browser zu injizieren.
Meldet sich das Opfer auf dem befallenen System in einer Online-Banking-Seite an, überträgt die Schadsoftware die Login-Daten an die Cyber-Kriminellen. Die Malware ist dabei so effizient, dass sie Antiviren-Software umgehen kann. In 3 Tagen konnte die Malware bei amerikanischen und kanadischen Bankkunden Anfang April 2016 bereits 4 Millionen US $ erbeuten – wie die Transaktionen durch die Cyber-Gangster abgewickelt werden, geht aus dem vorab veröffentlichten IBM-Dokument nicht hervor. Vermutlich versucht der Trojaner während einer Online-Tansaktion die Buchungsdaten zu manipulieren. Bei statischen TAN-Listen kann das gelingen. Die in Deutschland bei Banken auch gebräuchlichen TAN-Generatoren (siehe Online-Banking: App-TANs (u.a. der Sparkassen) unsicher) schieben diesem Ansatz aber einen Riegel vor.
Anzeige
Quellen aus Sicherheitskreisen, die anonym bleiben möchten, berichten aber, dass der Trojaner auch in Asien und in Europa – speziell in Polen – aktiv sei. Das Computer Emergency Response Team der Schweizer Eidgenossen warnt in diesem Bericht (englisch), dass die Cyber-Gangster wohl ein größeres Werbenetzwerk zur Verbreitung der Malware infiltriert hätten. (via)
Anzeige
Gibt es bei amerikanischen Banken überhaupt eine Absicherung mit TANs oder reicht dort eventuell nur das Passwort aus? Hatte vor Jahren mal einen Artikel gelesen, in dem man sich über die übervorsichtigen Deutschen mit ihren überzogenen Sicherheitsvorkehrungen mokierte.