Suchen

Banking-Trojaner VBKlip tauscht IBAN direkt im Browser-Prozess

Redakteur: Stephan Augsten

Der Online-Banking-Trojaner VBKlip, der ursprünglich nur die Zwischenablage von Windows auslesen konnte, hat eine neue Entwicklungsstufe erreicht. Statt die Copy-Paste-Funktion zu manipulieren, klinkt sich die Malware nun direkt in den Browser ein.

Firma zum Thema

Der VBKlip-Trojaner nutzt nicht mehr nur das Clipboard, sondern setzt sich jetzt direkt im Browser fest.
Der VBKlip-Trojaner nutzt nicht mehr nur das Clipboard, sondern setzt sich jetzt direkt im Browser fest.
(Bild: Archiv)

Malware-Forscher von F5 Networks haben eine neue „Man in the Browser”-Version des erstmals 2013 entdeckten VBKlip-Trojaners entdeckt. Ursprünglich war der Schadcode so konzipiert, dass er Daten, die in die Zwischenablage kopiert wurden, abfing und manipulierte. Die Malware suchte nach IBAN-Zeichenfolgen und ersetzte diese anschließend durch eine hart kodierte IBAN.

Neuerdings klinkt sich der Trojaner aber direkt in den Browser ein und tritt damit in die Fußstapfen mächtiger Malware wie Zeus oder Neverquest. Die Infektion beginnt mit einem Trojaner-Downloader, der zwei Dateien herunterlädt: Die ausführbare Datei wmc.exe und die Bibliotheksdatei Windows.sys.

Nachdem die infizierte Dynamic Link Library (DLL) Windows.sys in den Arbeitsspeicher geladen wurde, versucht der Trojaner, eine Kommunikation mit verschiedenen Domänen aufzubauen. Die Malware lädt anschließend alle Schadkomponenten in Form von spezialisierten Modulen herunter.

Der Download der jeweils nächsten Komponente erfolgt auf Basis der Command-and-Control-Server-Kommunikation erfolgt. Laut F5 ist es extrem schwierig, alle involvierten Komponenten zu ermitteln und die Attacke als Ganzes zu analysieren. Die IBAN wird in der neuen Variante direkt im Browserprozess ausgetauscht.

Eine Erweiterung zur vorherigen Version ist die Möglichkeit zur Synchronisierung. Konnte zuvor lediglich ein laufender Browserprozess beeinflusst werden, ist es nun möglich, mithilfe eines Mutex-Formats die IBAN in allen laufenden Prozessen auszutauschen. Die Malware richtet sich gegen die drei wichtigsten Browser: Internet Explorer, Firefox und Chrome.

Weitere Hintergründe zum VBKlip-Trojaner finden sich auf der Website von F5 Networks.

(ID:43373736)