Antivirus-Hersteller entdeckt neue Online-Banking-Malware

Trojaner „Tilon“ verwendet perfide Tarn-Techniken

| Redakteur: Stephan Augsten

Der Trojaner Tilon legt eine Ausnahmebehandlung an und verursacht selbst den Ausnahmefehler, um sich im Browser festzusetzen.
Der Trojaner Tilon legt eine Ausnahmebehandlung an und verursacht selbst den Ausnahmefehler, um sich im Browser festzusetzen. (Trusteer)

Sicherheitsforscher von Trusteer haben mit der Malware Tilon einen neuen Banking-Trojaner entdeckt. Der Schadcode setzt sich im Browser seines Opfers fest und späht so die Zugangsdaten zu Online-Banking-Accounts aus.

Per Man-in-the-Browser-Technik (MitB) infiziert der Banking-Trojaner W32.Tilon vornehmlich beliebte Browser unter Windows. Hierzu gehören unter anderem der Microsoft Internet Explorer, Mozilla Firefox und Google Chrome. Anschließend kontrolliert die Malware vollständig den Traffic zwischen Browser und Web Server.

Tilon fängt sämtliche Formular-Eingaben ab, protokolliert sie und übermittelt die Daten anschließend an seine Command-and-Control-Server. Darüber hinaus manipuliert der Trojaner die Datenpakete zwischen der Banking-Plattform und dem Browser. Mithilfe einer „Suchen und Ersetzen“-Funktion tauscht die Malware bestimmte Teile der Webseite gegen eigene Inhalte aus.

Besonders interessant ist laut Trusteer jedoch der Umfang der Verschleierungstechniken, mithilfe derer Tilon verhindert, dass er von Security-Lösungen entdeckt wird. Da Antivirus-Forscher gerne virtuelle Umgebungen für ihre Analyse nutzen, installiert sich der Trojaner nicht ordnungsgemäß in einer virtuellen Maschine.

Andere Schadcodes tun dies zwar auch, allerdings verzichten sie beispielsweise komplett auf das Infizieren virtueller Maschinen oder schalten zumindest in einen Ruhemodus. Da die beiden genannten Methoden allerdings zu einem geringen Grad verdächtig sind, installiert der Trojaner zumindest ein gefälschtes System-Tool, um als Betrugssoftware abgetan zu werden und seine wahre Natur zu verschleiern.

Tilon infiziert Windows-Prozesse

Um seine Identifizierung zusätzlich zu erschweren, startet Tilon als Systemdienst mit einem legitimen Namen. Anschließend injiziert er bösartigen Code in etliche Windows-Systemprozesse und beendet sich selbst, so dass kein Malware-Prozess im Arbeitsspeicher gefunden wird.

Hat Tilon erst einmal einen Windows-Prozess kompromittiert, dann startet er einen Thread, um seinen Service-Eintrag in der Registry und seine ausführbaren Dateien auf der Festplatte zu überwachen. Sobald eine dieser Komponenten manipuliert wird, stellt der Trojaner sie innerhalb von drei Sekunden wieder her, so Trusteer.

Die Schadcode-Injektion, mit der sich die MitB-Funktionen in den Browser einklinken (Hooking), läuft ebenfalls anders ab als bei anderen Attacken. Tilon installiert eine eigene Ausnahmebehandlung (Exception Handling) für den Prozess und überschreibt das erste Byte der Hooking-Funktion mit dem CLI-Befehl (Clear Interrupt Flag). Sobald die CPU die privilegierten CLI-Instruktion verarbeitet, wird eine Ausnahme generiert. Diese wird vom Exception Handler abgefangen, was Tilon ermöglicht, die Hooking-Funktion ungehindert zu verarbeiten.

Seit Trusteer den Trojaner im Juli entdeckt hat, ist mindestens eine neue Variante in freier Wildbahn aufgetaucht. Tilon ist eng mit Silon verwandt – einem Trojaner, den Trusteer bereits im Jahr 2009 entdeckt hatte. Statt den neuen Schadcode Silon++ zu nennen habe man sich dafür entschieden, den Anfangsbuchstaben durch den nachfolgenden Buchstaben „T“ zu ersetzen, schreibt Sicherheitsforscher Amit Klein im Trusteer-Blog.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 35031030 / Malware)