GozNym: Banking-Trojaner steuert auf Europa zu
Seit einigen Tagen haben die Angreifer 19 große polnische Banken, ein Geldinstitut in Portugal und mehrere europäische Unternehmen im Visier. Eine entdeckte Konfigurationsdatei von GozNym enthält alleine 230 Webadressen von polnischen Banken und E-Mail-Providern. Sicherheitsforscher von IBM X-Force rechnen mit einer ernsten Bedrohung.
Die Hintermänner der Banking-Malware GozNym haben ihre Aktivitäten offenbar ausgeweitet. Darauf haben jetzt Sicherheitsforscher von IBM X-Force hingewiesen. Sie Interesse gilt demzufolge seit einigen Tagen 19 großen polnischen Banken, einem Geldinstitut in Portugal und mehreren europäischen Unternehmen.
Die hybride Malware GozNym, die aus Code von Nymaim und Gozi ISFB zusammengefügt wurde, bietet sich besonders für Online-Banking-Betrug an. Während Nymaim Rechner üblicherweise durch Exploit-Kits wie Blackhole infiltriert und im Anschluss eine zweite ausführbare Datei einschleust, injiziert Gozi ISFB Skripte in Browser, um Anmeldedaten abzufangen – beispielsweise von Banking-Seiten. Um einer Erkennung durch Sicherheitsprogramme zu entgehen, nutzen beide Schadprogramme zudem effektive Techniken.
GozNym leitet Anwender auf gefälschte Banking-Websites um. “Indem Opfer von der Website ihrer Bank ferngehalten werden, kann der Betrüger sie dazu verleiten, wichtige Authentifizierungscodes preiszugeben, ohne dass die Bank erfährt, dass die Sitzung des Kunden kompromittiert wurde”, schreiben die IBM-Forscher. Neben den Anmeldedaten des Opfers fängt die gefälschte Website auch die Daten für eine Authentifizierung in zwei Schritten ab. Mit diesen Daten haben die Betrüger dann die Möglichkeit, auf das echte Bankkonto zuzugreifen und Geld abzuheben.
Forschern zufolge beinhaltet eine jetzt entdeckte neue Konfigurationsdatei von GozNym 230 Webadressen von polnischen Banken und E-Mail-Providern, gegen die die aktuelle Kampagne zielt. Die Cyberkriminellen verschleiern den Umfang ihrer Aktivitäten, indem sie jede einzelne gefälschte Domain auf einem eigenen Server hosten. Die Forscher rechnen damit, dass sich GozNym zu einer ernsten Bedrohung im Finanzsektor entwickelt.
Die IBM-Forscher hatten Mitte April erste Details zu GozNym öffentlich gemacht. Die Malware war zu dieser Zeit nur in den USA und Kanada aktiv. Sie soll dort innerhalb weniger Tage einen Schaden von mehreren Millionen Dollar verursacht haben. Die Hintermänner vermutet IBM in Osteuropa, obwohl dies nicht eindeutig zu beweisen sei.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de