Suchen

Neuer Trojaner stiehlt Online-Banking-Logins und Einmal-Passwörter Ausgeklügelte Attacke kombiniert Social Engineering und HTML-Injektion

| Redakteur: Stephan Augsten

Eine neue Trojaner-Variante mit der Bezeichnung Silon versucht, die Web-Sitzungen von Internet-Explorer-Nutzern mitzuschneiden und Login-Daten zu stehlen. Forschern des Security-Anbieters Trusteer zufolge erkennt die Malware, wenn ein Internet-User einen Login-Prozess startet. Die abgefangenen und entschlüsselten Daten übermittelt der Trojaner an einen Command-and-Control-Server.

Firmen zum Thema

Der Trojaner Silon hat es auf Login-Daten von Nutzern des Internet Explorer abgesehen, vor allem auf Online-Banking-Daten.
Der Trojaner Silon hat es auf Login-Daten von Nutzern des Internet Explorer abgesehen, vor allem auf Online-Banking-Daten.
( Archiv: Vogel Business Media )

Mit einer ganz besonderen Technik fängt der Trojaner Silon selbst Online-Banking-Daten ab: er speist dynamischen HTML-Code in den Login-Datenstrom zwischen dem Anwender-PC und Banken-Server ein. Anschließend erscheint zunächst eine andere Website, auf der das Opfer seine Login-Daten bestätigen soll. Kommt man dieser Aufforderung nach, liegen auch solche Daten binnen kürzester Zeit auf dem Command-and-Control-Server.

Selbst per Token generierte Einmal-Passwörter (One Time Password, OTP) sind vor dem Trojaner nicht sicher, warnt Trusteer. Auch hierfür generiert Silon eine Webseite, auf der der Bankkunde einen solchen Code eingeben soll. Mithilfe sämtlicher Login-Daten kann der Passwort-Dieb nun einen beliebigen Betrag vom Konto des Opfers auf ein eigenes überweisen.

Vor allem etliche US-amerikanische Banken geben solche OTP-Token gerne an ihre Kunden aus. Aber auch einige europäische Banken setzen auf die Sicherung mittels Hardware-Token. Der Chief Technology Officer von Trusteer, Amit Klein, zeigt sich insbesondere besorgt angesichts der Komplexität dieser Malware-Attacke: „Die Cyber-Kriminellen kombinieren raffinierte Techniken mit ein wenig Social Engineering und bedachten Flood-Angriffen auf Banken-Server.“

Silon macht angesichts der riesigen Malware-Familien nur einen Bruchteil sämtlicher in Umlauf befindlichen Schadcodes aus. Dennoch hat Trusteer den Trojaner schon etliche Male in seinen Honeypots in Nordamerika und Europa ausgemacht. Klein geht davon aus, dass derzeit eine von 1.000 Maschinen betroffen ist.

Über die Verbreitungswege von Silon herrscht derweil noch Unklarheit. Einerseits könnte der Trojaner über infizierte USB-Sticks auf den Rechner gelangen, aber auch E-Mail- und Web-basierte Spam-Kampagnen sind denkbar.

Trusteer versucht derzeit in Zusammenarbeit mit US-Behörden, die Kommunikation zum Command-and-Control-Server der Cyberkriminellen zurückzuverfolgen. Zum Standort des Servers wollte sich Klein nicht äußern. Zum Erfolg des Trojaners könne er nichts sagen, da die Forscher keinen Zugriff auf den Sammelpunkt gehabt hätten.

(ID:2041889)