Suchen

Phishing-Malware stiehlt 74.000 FTP-Credentials Neuer Zeus-Trojaner infiziert FTP-Server mit JavaScript-Schadcode

Redakteur: Stephan Augsten

IT-Security-Experten haben einen neuen Trojaner entdeckt, der bislang über 70.000 verschiedene FTP-Server-Logins abgegrast hat. Nun greift die Malware die ersten Domains an und schleust bösartige Skripte in die kompromittierten FTP-Seiten ein. Auf der Liste der angreifbaren Webseiten steht unter anderem Amazon.com.

Im Brennpunkt: Eine Variante des Zeus-Trojaners stiehlt FTP-Zugangsdaten, um JavaScript-Schadcode zu verbreiten.
Im Brennpunkt: Eine Variante des Zeus-Trojaners stiehlt FTP-Zugangsdaten, um JavaScript-Schadcode zu verbreiten.
( Archiv: Vogel Business Media )

Auf einem Server hat der Sicherheitsanbieter Prevx rund 74.000 gestohlene FTP-Zugangsdaten gefunden. Zu den betroffenen Webseiten gehören auch bekannte Internet-Auftritte von Software-Resellern der Security-Anbieter Symantec und McAfee, der Bank of America oder auch Amazon.com.

Jacques Erasmus, Direktor der Prevx-Forschungsabteilung, erwartet in den kommenden ein bis zwei Tagen einen deutlichen Anstieg der Malware-Aktivitäten. Angesichts der zahlreichen Infektionen sieht er jedoch keine effektive Möglichkeit, betroffene Unternehmen in einem angemessenen Zeitrahmen zu benachrichtigen.

Ein einzelner infizierter Client schafft es innerhalb von fünf Minuten, bösartigen JavaScript-Code in 85 FTP-Webseiten einzuschleusen. Hat es das Skript auf eine Webseite geschafft, scannt es Besucher-PCs auf Software-basierte Schwachstellen. Im Falle einer Sicherheitslücke sendet der Schadcode ein speziell angepasstes Malware-Paket an den Rechner, das wiederum Passwörter und andere sensible Informationen stiehlt.

Als neuestes Mitglied der Zeus-Familie gibt sich der Phishing-Trojaner aber nicht damit zufrieden, einfach nur FTP-Logins zu stehlen. Gleichzeitig bereinigt er auf kompromittierten Rechnern den Formulardaten-Cache, in dem möglicherweise FTP-Login-Daten für einen automatischen Zugriff hinterlegt sind.

Angesichts der zunehmenden Malware- und Phishing-Angriffe auf FTP-Server-Betreiber empfehlen Erasmus und andere Sicherheitsexperten den Umstieg auf Secure FTP (SFTP). Zahlreiche FTP-Clients unterstützen dieses Protokoll bereits. Durch die verschlüsselte Kommunikation kann man mögliches Sniffing und andere Sicherheitsvorfälle unterbinden. Zudem sollten Anwender sicherstellen, dass die FTP-Login-Informationen nicht im Browser-Cache vorgehalten werden.

Angesichts infizierter Reseller-Webseiten hat Symantec eine umgehende Prüfung seiner FTP-Server angekündigt. Andere Firmen und Privatanwender können über eine von Prevx bereitgestellte Webseite herausfinden, ob ihre FTP-Zugangsdaten gestohlen wurden.

(ID:2022745)