Alter Bekannter, neue Gefahr: Onlinebanking-Trojaner Bebloh bedroht deutschsprachige Nutzer
Archivmeldung vom 06.05.2015
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 06.05.2015 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittDer Onlinebanking-Trojaner Bebloh (Win32/Spy.Bebloh) feiert sein Comeback und ist wieder ein häufig anzutreffender Schädling. Aktuellere Versionen der Schadsoftware werden mithilfe von Spam-Mails direkt an deutschsprachige Opfer verschickt, um diese zu infizieren. Die E-Mails erwecken in der Regel einen seriösen Eindruck. Im Anhang befindet sich vorgeblich eine Rechnung, der Versandstatus eines Pakets oder ein ähnliches, scheinbar wichtiges Dokument.
Der Security-Software-Hersteller ESET rät daher einmal mehr zur Vorsicht beim Öffnen von E-Mail-Anhängen unbekannter Herkunft - selbst wenn diese von scheinbar vertrauenswürdigen Quellen verschickt wurden. Die Malware wurde erstmals 2009 entdeckt und regelmäßig aktualisiert, um auch auf modernen Betriebssystemen lauffähig zu bleiben.
Verbreitung über Spam-Mails
Win32/Spy.Bebloh ist ein sogenannter "Man-in-the-Browser" (MITB)-Schädling. Das heißt, er kann sich in den Webbrowser einklinken, um Webseitenaufrufe zu überwachen oder die Webseite zu manipulieren. Dadurch ist es möglich, die Login-Daten beim Onlinebanking abzufangen oder ein Opfer zum Beispiel zur Eingabe der eigentlich nicht erforderlichen Persönlichen Identifikationsnummer (PIN) zu bewegen.
Die angehängte Schadsoftware ist durch eine doppelte Dateiendung (beispielsweise ".doc.exe") erkennbar, die allerdings nur wenige Opfer bemerken. Der Trojaner aktiviert sich, sobald die Datei geöffnet wird und verbindet sich mit dem Windows Explorer (explorer.exe). Wenn die Verbindung steht, wird ein Command-and-Control-Server (C&C-Server) kontaktiert, um diesem die erfolgreiche Infizierung des Computers zu melden. Der C&C-Server hat nun eine Verbindung zum befallenen Rechner, wodurch er Daten von ihm empfangen sowie Befehle übermitteln kann. Dabei werden auch einige grundlegende Informationen des Opfers wie IP-Adressen oder Informationen über das Betriebssystem übertragen.
Vielzahl an Funktionen
Um eine Analyse der gesendeten Dateien zu erschweren, wird die Kommunikation mit dem C&C-Server über SSL verschlüsselt. Als Antwort erhält der Schädling eine ebenfalls verschlüsselte Konfigurationsdatei, die in der Windows Registrierung gespeichert wird. In dieser Datei legt der Angreifer fest, von welchen Onlinebanking-Anbietern die Daten bei einem Login-Versuch abgegriffen werden sollen.
Win32/Spy.Bebloh besitzt zusätzlich noch die Möglichkeit, Dateien aus dem Internet zu laden und diese auszuführen. Weiter kann die Schadsoftware eigenständig Screenshots erstellen und sich selbst aktualisieren. Um einen Neustart des Computers zu überleben, schreibt der Schädling eine Kopie von sich selbst vom Arbeitsspeicher auf die Festplatte und erstellt einen Starteintrag in der Windows Registrierung, sobald das System heruntergefahren wird.
Weitere Informationen zu Win32/Spy.Bebloh finden sich auf WeLiveSecurity: http://www.welivesecurity.com/deutsch/2015/05/05/alter-bekannter-neue-gefahr-deutsche-nutzer-von-bebloh-bedroht
Quelle: www.eset.de/Michael Klatte