Banking-Trojaner

Shifu attackiert Banken und beseitigt andere Malware

| Redakteur: Stephan Augsten

Der Trojaner Shifu greift vornehmlich japanische Banken an, hat es aber offenbar auch auf europäische Geldinstitute abgesehen.
Der Trojaner Shifu greift vornehmlich japanische Banken an, hat es aber offenbar auch auf europäische Geldinstitute abgesehen. (Bild: Archiv)

Mit dem bezeichnenden Namen „Shīfu“ – japanisch für Dieb – hat IBM einen Online-Banking-Trojaner bedacht. Dieser hat es auf 14 japanische Banken sowie auf Banking-Plattformen in Europa abgesehen. Laut den Sicherheitsforschern liegen zwölf Prozent der Angriffsziele in Deutschland und Österreich.

Schon seit April 2015 versuchen Cyber-Kriminelle, mit dem Shifu-Trojaner die Systeme von japanischen Banken sowie Banking-Plattformen in Europa zu infiltrieren. Der Schadcode scannt befallene Systeme mittels einer Antivirus-Software nach anderen Schädlingen, die anschließend gleich entfernt werden.

Shifu stiehlt nach Möglichkeit Zugangsdaten, mithilfe eines Key-Loggers auch Passwörter sowie private Zertifikate und Authentifizierungstoken. Letzeres ist besonders problematisch, da Banking-Applikationen meist von mehreren Banken genutzt werden. Ist eine Plattform gehackt, sind damit die Systeme auch anderer Geldinstitute verwundbar. Mithilfe der Zugangsdaten geben sich die Angreifer als rechtmäßige Inhaber der Bankkonten aus.

Selbst der Inhalt von Chipkarten, etwa EC-Karten, ist nicht vor ihnen sicher, sofern diese über einen Kartenleser an ein befallenes Gerät angeschlossen sind. Dazu zählen auch mit dem Netz verbundene Verkaufsterminals, die Shifu befällt, um die darüber laufenden Bezahlinformationen auszulesen.

Auf der Suche nach dem Ursprung des Shifu-Trojaners sind die IBM-Forscher in dessen Skripten auf Kommentare in russischer Sprache gestoßen. Andere Zeichenketten wiederum sind zwar nicht in kyrillischem Schriftcode geschrieben, haben jedoch eine russische Bedeutung, darunter Begriffe wie „Buchhaltung“ oder „Kasse“.

Ob diese Indizien auf einen Ursprung der Hacker aus Russland oder einem anderen russischsprachigen Land schließen lassen, ist nicht geklärt. Möglich ist auch, dass die Cyber-Kriminellen schlichtweg versuchen, ihre Spuren zu verwischen. Weitere Informationen im Blog von IBM X-Force.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43581544 / Malware)