Banking-Trojaner

VBKlip tauscht IBAN direkt im Browser-Prozess

| Redakteur: Stephan Augsten

Der VBKlip-Trojaner nutzt nicht mehr nur das Clipboard, sondern setzt sich jetzt direkt im Browser fest.
Der VBKlip-Trojaner nutzt nicht mehr nur das Clipboard, sondern setzt sich jetzt direkt im Browser fest. (Bild: Archiv)

Der Online-Banking-Trojaner VBKlip, der ursprünglich nur die Zwischenablage von Windows auslesen konnte, hat eine neue Entwicklungsstufe erreicht. Statt die Copy-Paste-Funktion zu manipulieren, klinkt sich die Malware nun direkt in den Browser ein.

Malware-Forscher von F5 Networks haben eine neue „Man in the Browser”-Version des erstmals 2013 entdeckten VBKlip-Trojaners entdeckt. Ursprünglich war der Schadcode so konzipiert, dass er Daten, die in die Zwischenablage kopiert wurden, abfing und manipulierte. Die Malware suchte nach IBAN-Zeichenfolgen und ersetzte diese anschließend durch eine hart kodierte IBAN.

Neuerdings klinkt sich der Trojaner aber direkt in den Browser ein und tritt damit in die Fußstapfen mächtiger Malware wie Zeus oder Neverquest. Die Infektion beginnt mit einem Trojaner-Downloader, der zwei Dateien herunterlädt: Die ausführbare Datei wmc.exe und die Bibliotheksdatei Windows.sys.

Nachdem die infizierte Dynamic Link Library (DLL) Windows.sys in den Arbeitsspeicher geladen wurde, versucht der Trojaner, eine Kommunikation mit verschiedenen Domänen aufzubauen. Die Malware lädt anschließend alle Schadkomponenten in Form von spezialisierten Modulen herunter.

Der Download der jeweils nächsten Komponente erfolgt auf Basis der Command-and-Control-Server-Kommunikation erfolgt. Laut F5 ist es extrem schwierig, alle involvierten Komponenten zu ermitteln und die Attacke als Ganzes zu analysieren. Die IBAN wird in der neuen Variante direkt im Browserprozess ausgetauscht.

Eine Erweiterung zur vorherigen Version ist die Möglichkeit zur Synchronisierung. Konnte zuvor lediglich ein laufender Browserprozess beeinflusst werden, ist es nun möglich, mithilfe eines Mutex-Formats die IBAN in allen laufenden Prozessen auszutauschen. Die Malware richtet sich gegen die drei wichtigsten Browser: Internet Explorer, Firefox und Chrome.

Weitere Hintergründe zum VBKlip-Trojaner finden sich auf der Website von F5 Networks.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43373736 / Mobile- und Web-Apps)