Wie Eurograbber über 36 Millionen Euro stehlen konnte

Neuer Trojaner-Angriff auf Online-Banking-Kunden

| Redakteur: Stephan Augsten

Check Point hat sich den Ablauf einer Eurograbber-Attacke genau angesehen.
Check Point hat sich den Ablauf einer Eurograbber-Attacke genau angesehen. (Check Point Software)

Mit Eurograbber treibt derzeit eine Online-Banking-Malware in Europa ihr Unwesen, die sich Komponenten des Zeus-Trojaners zunutze macht. Sicherheitsexperten von Check Point schätzen, dass die Cyber-Betrüger im Rahmen ihrer Attacken schon über 36 Millionen Euro erbeuten konnten.

In dem Report „A Case Study of Eurograbber: How 36 million was stolen via malware“ deckt Check Point Software eine hochspezialisierte Attacke auf Online-Banking-Kunden auf. Dabei kombinieren die Cyber-Kriminellen eine Client-Malware mit einem Schadcode für Mobilgeräte.

Der Angriff beginnt damit, dass der PC des potenziellen Opfers mit einer angepassten Variante des Zeus-Trojaners infiziert wird. Dies geschieht entweder per Drive-by-Download oder mithilfe einer Spam-Mail, die einen Link auf eine infizierte Webseite oder den Trojaner als E-Mail-Anhang beinhaltet.

Loggt sich der Anwender nun mit dem kompromittierten PC bei seinem Online-Banking-Portal ein, so übernimmt Eurograbber die Sitzung. Die Malware injiziert Javascript-Code in die Webseite und teilt dem Anwender mit, dass sein Kreditinstitut die Sicherheit beim Online-Banking mithilfe einer kryptographischen Komponente für Mobilgeräte steigern wolle.

Das potenzielle Opfer wird aufgefordert, das Betriebssystem seines Mobilgerätes und die zugehörige Rufnummer anzugeben. Nachdem Eurograbber diese Daten an seinen Command-and-Control-Server (C&C-Server) übermittelt hat, sendet er eine SMS an das Mobilgerät. Gleichzeitig wird auf dem PC eine Anleitung für den mutmaßlichen Upgrade-Prozess angezeigt.

Um das Sicherheitsupdate abzuschließen, müsse der Anwender den in der SMS enthaltenen Link betätigen. Fällt der Online-Banking-Kunde darauf herein, dann wird das Mobilgerät mit dem passenden Schadcode infiziert. Die mobile Malware-Komponente liefert einen Aktivierungscode zurück, den der Anwender nur noch auf dem PC eingeben müsse.

Wohin fließt das Geld?

Mit der Eingabe des Codes wissen die Cyber-Kriminellen gleich, dass die Infektion erfolgreich war. Sobald der Anwender eine Überweisung über das Online-Banking-Portal tätigen möchte, stößt Eurograbber eine eigene Transaktion an. Dabei wird ein prozentualer Anteil des verfügbaren Geldes festgelegt, der auf ein Geldwäsche-Konto übertragen werden soll.

Schließt das Opfer seine Überweisung ab, fängt Eurograbber die seitens der Bank versendete mobile Transaktionsnummer (TAN) ab, versteckt sie vor dem Nutzer und überträgt sie auf den C&C-Server. Von dort holt sich die PC-Komponente die TAN zurück und verwendet sie, um die betrügerische Transaktion abzuschließen.

Anfangs beschränkten sich die Angriffe noch auf italienische Nutzer, mittlerweile wurde Eurograbber aber auch in Deutschland, Spanien und den Niederlanden gesichtet. Sowohl Privatpersonen als auch Unternehmen sollen betroffen sein. Weitere Informationen darüber, wie die Attacke im Detail abläuft und welche Mittel einen Schutz versprechen, liefert das Whitepaper „A Case Study of Eurograbber: How 36 million was stolen via malware“.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 37080690 / Malware)