{"id":146737,"date":"2014-02-19T11:18:51","date_gmt":"2014-02-19T10:18:51","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=146737"},"modified":"2022-08-10T12:11:13","modified_gmt":"2022-08-10T10:11:13","slug":"zeus-banking-trojaner-wenn-die-schadsoftware-bilder-liest","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2014\/02\/19\/zeus-banking-trojaner-wenn-die-schadsoftware-bilder-liest\/","title":{"rendered":"Zeus-Banking-Trojaner: Wenn die Schadsoftware Bilder liest …"},"content":{"rendered":"

Der Trojaner Zeus\/Zbot ist ja recht erfolgreich und kaum tot zu kriegen. Bef\u00e4llt Rechner und nistet sich als \"man-in-the-browser\" ein, um Datentransfers mitzuschneiden und Bankdaten auszusp\u00e4hen oder Online-Transaktionen umzuleiten. Nun sind neue Informationen \u00fcber diesen Trojaner bekannt geworden.<\/p>\n

<\/p>\n

\"\"Die Sicherheitsforscher von MalwareByte habe das Ganze analysiert und hier im Blog dokumentiert<\/a>. Eine neue Variante des Trojaners, als ZeusVM bezeichnet, verwendet Grafikdateien, um sich Konfigurationsdaten zu verschaffen. Der Trojaner l\u00e4dt sich JPG-Grafikdateien von Servern, auf denen auch andere Malware-Komponenten gehostet sind. Die Leute von MalwareByte habe das folgende Bild von einem Sonnenuntergang als Beispiel ver\u00f6ffentlicht. <\/p>\n

\"pic\"<\/a>(Source: Malwarebyte<\/a>)<\/p>\n

Niemand kommt auf die Idee, das Foto als verd\u00e4chtig einzustufen \u2013 und ein Administrator, der es zuf\u00e4llig zu sehen bekommt, freut sich m\u00f6glicherweise sogar. Bei der Analyse der Bilddatei konnten die Sicherheitsforscher feststellen, dass an die Bilddatei Konfigurationsdaten f\u00fcr den Trojaner angeh\u00e4ngt waren. Diese waren nat\u00fcrlich verschl\u00fcsselt, um eine zuf\u00e4llige Entdeckungen zu verhindern. Allerdings l\u00e4sst sich die Base64-Verschl\u00fcsselung leicht entschl\u00fcsseln, so dass man die Klartextdaten erh\u00e4lt. Hier ein Screenshot der Konfigurationsdatei, die die angegriffenen Institute auflistet:<\/p>\n

\"banks\"<\/a>
(Source: Malwarebyte<\/a>)<\/p>\n

Da ist alles an deutschen Banken dabei, was Rang und Namen hat: Deutsche Bank, Sparkasse. de, Sparda.de etc., aber auch Banken in \u00d6sterreich wie Raiffeisenbank.at, bankaustria.at, sparkasse.at sind dabei. Bei einer Infektion fungiert der Trojaner als Man-in-the-middle und leitet Online-Transaktionen, die der Benutzer ausf\u00fchrt, auf andere Konten um. Der Bank f\u00e4llt dies nicht auf, das die Transaktion ja vordergr\u00fcndig durch eine TAN des Benutzers abgesegnet ist.  <\/p>\n

Passt nat\u00fcrlich sch\u00f6n zu meiner Story hier: Achtung: Aktueller Phishing-Angriff auf Sparkassen-Kunden<\/a>. Man beachte meinen Kommentarnachtrag mit der Reaktion von sparkasse.de und BSI. Die Phising-Server sind \u00fcbrigens drei Tage nach dem Versand der Mail weiterhin aktiv \u2013 da der Betreiber des initialen Servers in Hanoi, Vietnam, entweder zu den Phishern geh\u00f6rt oder oder mehr oder weniger verwaist ist. Jedenfalls sind alle Kontaktm\u00f6glichen via E-Mail nicht existent und der Registrar reagierte auf meinen Kontaktversuch auch nicht. Ich habe es zwischenzeitlich aufgesteckt, da so was nicht zu meinen Aufgaben geh\u00f6rt \u2013 werde aber m\u00f6glicherweise mal eine Redaktion wie Monitor, Report oder Panorama darauf ansetzen.<\/p>\n","protected":false},"excerpt":{"rendered":"

Der Trojaner Zeus\/Zbot ist ja recht erfolgreich und kaum tot zu kriegen. Bef\u00e4llt Rechner und nistet sich als \"man-in-the-browser\" ein, um Datentransfers mitzuschneiden und Bankdaten auszusp\u00e4hen oder Online-Transaktionen umzuleiten. Nun sind neue Informationen \u00fcber diesen Trojaner bekannt geworden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[4328,1107],"class_list":["post-146737","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-sicherheit","tag-trojaner"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/146737","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=146737"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/146737\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=146737"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=146737"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=146737"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}