Aktuelles, Branche - geschrieben von dp am Montag, Mai 9, 2016 23:02 - noch keine Kommentare
KRBanker: Angriffe mittels Adware und Exploit-Kits
Palo Alto Networks veröffentlicht neue Erkenntnisse zu Banking-Malware
[datensicherheit.de, 09.05.2016] Online-Banking ist seit vielen Jahren ein bevorzugtes Ziel von Cyber-Kriminellen – und die Angriffe nehmen weiter zu. Die Verbrecher hinter diesen Kampagnen nähmen gezielt Online-Banking-Nutzer ins Visier, um ihre Anmeldeinformationen zu stehlen und finanzielle Gewinne zu erzielen. Nach eigenen Angaben verfolgt die „Unit 42“ des Malware-Analyseteams von Palo Alto Networks die Malware-Kampagne „KRBanker“, auch bekannt als „Blackmoon“. Den Forschern von sei es nun gelungen, Samples dieser Malware zu analysieren und weitere Informationen über deren Verbreitung zu gewinnen.
Wachsende Bedrohung im ersten Halbjahr 2016
Frühe Malware-Varianten dieser Kampagne seien bereits Ende September 2015 aufgetaucht. Die Anzahl der Infizierungsversuche durch „KRBanker“ sei bis Jahresende 2015 noch relativ gering gewesen, doch dann hätten die Malware-Forscher einen allmählichen Anstieg der Anzahl der Sessions seit Anfang 2016 verzeichnet.
Insgesamt hätten so in den letzten sechs Monaten fast 2.000 einzigartige Samples von „KRBanker“ und über 200 Pharming-Server-Adressen erfasst werden können. Die Analyse zeigt laut Palo Alto Networks, dass „KRBanker durch Web-Exploit-Kits und eine bösartige Adware-Kampagne verteilt wird. Das Exploit-Kit zur Installation von „KRBanker“ sei bekannt als „KaiXin“. Eine bösartige Adware zur Verbreitung dieses Exploit-Kits nenne sich „NEWSPOT“.
Aktivitäten in Südkorea beobachtet
Die Forscher hätten das „KaiXin“-Exploit-Kit bei Aktivitäten in Südkorea beobachtet. In diesen Fällen habe bösartiges „JavaScript“ durch manipulierte Websites oder Werbeanzeigen zu dem Exploit-Kit geführt, das die Schwachstellen „CVE-2014-0569“ oder „CVE-2015-3133“ in „Adobe Flash“ ausgenutzt habe. Die Nutzlast in beiden Fällen sei schließlich „KRBanker“ gewesen.
Der weitere Distributionskanal, die Adware „NEWSPOT“, werde damit beworben, 300 Prozent Umsatzwachstum für Web-Shopping-Sites zu generieren. Neben der Adware-Basisfunktion, Werbung in Browsern anzuzeigen, diene „NEWSPOT“ mindestens seit November 2015 auch dazu, Malware zu installieren. Beim Besuch diverser koreanischer Websites hätten die Benutzer ein Pop-up mit einem zur Installation von „NEWSPOT“ auffordernden Browser-Add-on bemerkt.
Umleitung auf gefälschte Bankenwebsites
Klassische Banking-Trojaner wie „Dridex“ oder „Vawtrak“ nutzten „Man-in-the-Browser“-Techniken, um Anmeldeinformationen der Opfer gezielt zu stehlen.
„KRBanker“ hingegen setze auf Pharming-Technik. Wenn ein kompromittierter Benutzer auf eine der von den Kriminellen ins Visier genommenen Bankenwebsites zuzugreifen versucht, werde der Verkehr auf eine gefälschte Website umgeleitet. Der falsche Banking-Server fordere die Besucher auf, ihre Anmeldeinformationen zu senden. Die gefälschte Website erscheine dabei wie ihr legitimes Pendant und werde mit einer gültigen URL in der Adressleiste des Browsers angezeigt. Ziel sei jedoch, die Zugangs- und Kontodaten der Opfer zu stehlen.
Finanzieller Gewinn als primäre Motivation für Angreifer
Die Akteure hinter „KRBanker“ hätten neue Vertriebskanäle erschlossen, Pharming-Techniken mehrfach weiterentwickelt und brächten täglich neue Varianten ins Spiel, um ihre Einnahmen auf Kosten der Opfer zu maximieren.
Die Bedrohung werde durch Exploit-Kits verteilt, die alte Schwachstellen und Adware nutzten, die manuell installiert werden müsse. Daher sei es generell wichtig, die Infektionsvektoren solcher Kampagnen zu verstehen, um deren Auswirkungen gezielt zu minimieren.
Aktuelles, Experten - Dez 3, 2024 14:12 - noch keine Kommentare
Crimenetwork: BKA und ZIT gelang Abschaltung
weitere Beiträge in Experten
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
- Bildungsprojekt MedienTrixx hat Datenschutz und Künstliche Intelligenz im Fokus
Aktuelles, Branche, Veranstaltungen - Dez 3, 2024 14:42 - noch keine Kommentare
NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
weitere Beiträge in Branche
- Industrie-Umgebungen: Cyber-Sicherheit trotz OT mit Alt-Systemen
- KI als zweischneidiges Schwert: Zukunft der Cyber-Bedrohung und -abwehr werden neu definiert
- IT Security Economics Report: Cyber-Angriffe verursachen Unternehmen durchschnittliche Kosten von 1,06 Millionen US-Dollar
- NIS-2: EU leitet Vertragsverletzungsverfahren gegen Deutschland ein
- Rund um Black Friday, Black Week und Cyber Monday läuft Cyber-Kriminalität zur Höchstform auf
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren