Symantec warnt vor gefährlichem Banking-Trojaner Odinaff
Die Malware ist seit Januar im Umlauf. Sie erstellt Screenshots, greift Anmeldedaten ab und späht Mitarbeiter von Finanzinstituten aus. Verbreitet wird Odinaff über Word-Dokumente mit Makros sowie über passwortgeschützte RAR-Archive.
Cyberkriminelle greifen offenbar schon seit Januar mit einem von seinen Entdeckern Odinaff genannten Banking-Trojaner weltweit Finanzinstitute an. Darauf hat Symantec jetzt hingewiesen. Die Malware ermögliche es den Hintermännern, die Aktivitäten von Mitarbeitern zu überwachen und aufzuzeichnen sowie Anmeldedaten zu stehlen.
In den meisten Fällen wird Odinaff per Mail in Firmen eingeschleust. Mitarbeiter erhalten im Anhang der E-Mails offenbar sehr gezielt scheinbar wichtige Dokumente und sollen durch Warnmeldungen zu Darstellungsfehlern dazu bewegt werden, die Ausführung von Makros zuzulassen. Außerdem werde Odinaff auch über passwortgeschützte RAR-Archive verbreitet.
Einmal aktiv, zeichnet Odinaff in Intervallen von 5 und 30 Sekunden Screenshots auf und verschickt sie an den Befehlsserver. Außerdem lädt der Trojaner eine weitere Schadsoftware namens Batel nach. Sie kann Schadcode ausschließlich im RAM ausführen, was es ihr erlaubt, unerkannt im Hintergrund zu agieren.
Die Symantec-Experten gehen davon aus, dass den Cyberkriminellen umfangreiche Ressourcen zur Verfügung stehen. Diese Annahme führen sie darauf zurück, dass zur Steuerung von Odinaff sowie dem Ausführen einzelner Komponenten zahlreiche manuelle Eingriffe erforderlich sind. Sie werden beispielsweise nur heruntergeladen und installiert, wenn sie tatsächlich benötigt werden. So versuchen die Hintermänner von Odinaff die Gefahr einer Entdeckung zu minimieren.
Ein weiterer Hinweis, dass hinter Odinaff auf hervorragend organisierte Kriminelle stecken, ist für Symantec, dass einige der verwendeten IP-Adressen schon von früheren, spektakulären Angriffen bekannt sind. Die wurden nicht nur bei dem raffiniert angelegten Raubzug gegen über 100 Banken in 30 Ländern mit dem Banking-Trojaner Carbanak benutzt, sondern auch im Zusammenhang mit dem Einbruch in die Systeme der Oracle-Tochter Micros.
Bislang konzentrierten sich die Angreifer mit Odinaff offenbar auf die USA, Hongkong und Australien. Laut Symantec sind aber auch Banken in Großbritannien, der Ukraine und Irland betroffen. Angesichts der früheren, internationalen Aktivitäten der potenziellen Hintermänner ist damit zu rechnen, dass auch Angriffe in anderen Ländern zumindest versucht werden.
[mit Material von Stefan Beiersmann, ZDNet.com]
Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.