Waski: Banking-Trojaner verbreitet sich auf deutschen PCs

Eset hat eine Warnung vor dem Torjaner “Waski” herausgegeben. Dieser verteile sich rasant schnell in Deutschland. Das Sicherheitsunternehmen hat das Schadprogramm unter der Bezeichnung Win32/TrojanDownloader.Waski identifiziert. Er verbreitet sich per E-Mail und lädt beim Ausführen der angehängten ZIP-Datei die Banking-Malware Batdill (Win32/Batdill) aus dem Internet. Nutzer sollten keine Dateianhänge von unbekannten Absendern öffnen.

Im November 2013 tauchte Waski zum ersten Mal auf. Aber erst jetzt verbreitet er sich auch auf deutschen Rechnern. In den vergangenen Monaten gehörte der Trojaner Eset zufolge zu einer der am häufigsten auftretenden Schädlingen hierzulande. Das ESET VirusRadar zeige in Deutschland seit Anfang des Jahres eine spürbar steigende Infektionsrate. Sie bewege sich momentan entlang der Vier-Prozent-Marke.

Cyberkriminelle würde Waski weniger für gezielte Attacken nutzen, sondern den Trojaner vielmehr mit ungezielten Spam-Mails unter die Leute bringen. Die Verbreitung dieser E-Mails erfolge über bekannte Botnets, die die Adressbücher ihrer Opfer auslesen. Die Mails bestehe zum Großteil nur aus einem englischen Satz sowie den als ZIP-Datei getarnten Trojaner im Anhang.

Führt ein Nutzer die ZIP-Datei aus, lädt der Waski-Downloader weitere Schadsoftware herunter. Bei den durch den Security-Anbieter untersuchten Exemplaren handelte es sich demzufolge um den Banking-Trojaner “Battdil” (Win32/Battdil bzw. Win64/Battdil).

Den Trojaner mit der offiziellen Bezeichnung Win32/TrojanDownloader.Waski hat sich laut Eset in Deutschland in den letzten Monaten rasant verbeitet. Aktuell bewegt sich die Infektionsrate entlang der Vier-Prozent-Marke (Grafik: Eset).

Anschließend liest die Schadsoftware die öffentliche IP-Adresse des Opfers aus. Dafür verbindet sich Waski mit der Domain checkip.dyndns.com und erhält auf diese Weise die entsprechende IP-Adresse. Mit dieser berechnet die Malware eine eindeutige Identifikationsnummer, die zusammen mit anderen Informationen des Opfers – etwa Computername, Windows-Version oder Service-Pack-Nummer des Betriebssystems – an einen von Waski kontaktierten Command-and-Control-Server (C&C-Server) geschickt wird.

Darüber hinaus lädt das Schadprogramm eine verschlüsselte PDF-Datei von einer kompromittierten Website herunter. Dabei handle es sich um den Zusammenschluss zweier Dateien. Zum einen setzt sich das Paket zwar aus einer regulären PDF-Datei zusammen, zum anderen aber auch aus Win32/Battdil.

Letztere besteht ebenfalls aus zwei Teilen, einem sogenannten Injector respektive Dropper und einer Payload. Der Injector lädt, nachdem er gestartet wurde, die Payload. Normalerweise ist der Injector eine ausführbare EXE-Datei und die Payload eine DLL-Datei, die im Injector gespeichert ist. Oftmals hat letzterer die Aufgabe, die Payload mittels DLL-Injection in einen Windows-Prozess zu injizieren, so auch im Fall von Win32/Battdil.

Chrome, Firefox und Internet Explorer gefährdet

Die Payload von Win32/Battdil beginnt laut Eset anschließend mit ihrer Arbeit, indem sie sich in den jeweiligen Browser des Nutzers einklinkt und die für das Online-Banking benötigten Log-in-Daten abfängt. Dem slowakischen Unternehmen zufolge ist die Malware in der Lage, sich in allen gängigen Browsern wie dem Internet Explorer, Firefox, Chrome oder Chromium einzunisten.

Ferner soll es die Webseiten von Banken so manipulieren können, dass ein Opfer beim Besuch nicht das Original zu sehen bekommt, sondern eine modifizierte Version. Beispielsweise würden beim Log-in oftmals zusätzliche Eingabefelder – etwa eine Abfrage der Kreditkarten-PIN – eingebaut, die dann bei Eingabe an den Angreifer gesendet wird. Die gesammelten Informationen verschicke die Schadsoftware schließlich über eine SSL-verschlüsselte Verbindung an ihren Befehlsserver. Win32/Battdil besitze zudem die Möglichkeit, sich anonymisiert über das sogenannte Invisible Internet Projekt (I2P) mit dem Kommandoserver zu verbinden.

Eset mahnt deutsche Internetnutzer deshalb dringend zur Vorsicht in Sachen E-Mail. Unbekannte Dateianhänge sollten niemals blind geöffnet werden, eine aktuelle Sicherheitssoftware sei ebenfalls Pflicht und sollte durch Updates stets aktuell gehalten werden.

Bei einer E-Mail dieser Form in englischer Sprache sollten Nutzer alarmiert sein. Sie enthält Waski als ZIP-Datei im Anhang (Screenshot: Eset).

Die zehn größten Gefahren im Internet

Ende vergangener Woche hatte der Bitkom die größten Bedrohungen für Internutzer veröffentlicht. Demnach sind vor allem Trojaner und Würmer immer noch am weitesten verbreitet. Täglich würden außerdem etwa 350.000 neue Varianten von Schadsoftware im Internet auftauchen.

Nutzer können sich aber einfach schützen. Sie müssen nur ihre Anti-Viren-Programme sowie Betriebssystem auf dem aktuellsten Stand halten und nur auf Links in E-Mails von vertrauenswürdigen Absendern klicken.

[mit Material von Rainer Schneider, ITespresso.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

11 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

12 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago