Banking-Malware wird immer hinterhältiger, Sicherheitsfirmen warnen

Finanz-Malware-Autoren versuchen, neue Online-Banking-Sicherheitssysteme auszuweichen, indem sie zu traditionelleren, Phishing-ähnlichen Methoden zum Diebstahl von Berechtigungsnachweisen zurückkehren, so Forscher des Sicherheitsunternehmens Trusteer.

Der meiste finanzielle Trojaner Programme, die heute von Cyberkriminellen genutzt werden, sind in der Lage, in Echtzeit Online-Banking-Sitzungen zu manipulieren, die von Opfern auf ihren Computern ausgelöst werden. Dazu gehört auch die Möglichkeit, betrügerische Transaktionen im Hintergrund auszuführen und sie vor dem Benutzer zu verbergen, indem sie den Kontostand und die Transaktionsverlaufsanzeige in ihrem Browser ändern.

Banken haben damit begonnen, Systeme zur Überwachung der Interaktion ihrer Kunden mit ihren Websites einzusetzen und erkennen Anomalien, die auf Malware-Aktivität hinweisen könnten. Es scheint jedoch, dass einige Malware-Ersteller zu traditionelleren Techniken zurückkehren, bei denen Anmeldeinformationen gestohlen und von einem anderen Computer verwendet werden, um nicht entdeckt zu werden.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Vertraute Trojaner, neue Technik

Trusteer-Forscher haben kürzlich Änderungen an den Trojan-Programmen Tinba und Tilon entdeckt, die verhindern sollen, dass Opfer auf echte Online-Banking-Websites zugreifen und ihre Anmeldeseiten durch gefälschte Versionen ersetzen.

"Wann Wenn der Kunde auf die Webseite der Bank zugreift, präsentiert die Malware eine komplett gefälschte Webseite, die wie die Bank-Login-Seite aussieht ", sagte Trusteers Chief Technology Officer Amit Klein am Donnerstag in einem Blogbeitrag. "Sobald der Kunde seine Login-Daten in die gefälschte Seite eingibt, gibt die Malware eine Fehlermeldung aus, dass der Online-Banking-Service derzeit nicht verfügbar ist. In der Zwischenzeit sendet die Malware die gestohlenen Anmeldedaten an den Betrüger, der dann eine völlig andere Maschine verwendet Melden Sie sich als Kunde bei der Bank an und führen Sie betrügerische Transaktionen durch. "

Wenn die Bank eine Multi-Faktor-Authentifizierung verwendet, die Einmalpasswörter (OTPs) erfordert, fragt die Malware diese Informationen auch auf der gefälschten Seite ab.

Diese Art des Diebstahls von Anmeldeinformationen ähnelt herkömmlichen Phishing-Angriffen, ist jedoch schwieriger zu erkennen, da die URL in der Adressleiste des Browsers der echten Website entspricht und keine gefälschte ist.

"Sie ist nicht so raffiniert wie das Eingeben von Transaktionen Webbanking-Sitzungen in Echtzeit, aber es erfüllt das Ziel, der Erkennung zu entgehen ", sagte Klein.

Diese" Ganzseiten-Ersetzung "-Funktion ist in der Tinba-Version 2 vorhanden, die die Trusteer-Forscher neueren Datums haben y entdeckt und analysiert. Die Malware wird mit Google Chrome unterstützt und versucht, den Netzwerkverkehr zu begrenzen, indem lokal auf der gefälschten Seite geladene Bilder gespeichert werden.

Bereits im Einsatz

Laut den Trusteer-Forschern wird Tinba v2 bereits bei Angriffen auf wichtige Finanzdaten eingesetzt Institutionen und Verbraucher-Web-Dienste.

"Banken haben immer zwei Angriffsvektoren im Online-Kanal konfrontiert", sagte Klein. "Der erste ist der Diebstahl von Anmeldeinformationen. Es gibt verschiedene Möglichkeiten, diese Art von Angriffen auszuführen, einschließlich Malware, Pharming und Phishing. Der zweite Angriffsvektor ist Session-Hijacking, das durch Malware erreicht wird. Diese beiden Vektoren erfordern zwei verschiedene Lösungen."

Banken Sie sollten sicherstellen, dass sie gegen beide Angriffstypen geschützt sind, sonst würden Cyberkriminelle ihre Techniken schnell anpassen, sagte Klein. "Sie können Ihre Tür nicht verschließen und das Fenster offen lassen."