FTP Malware goes Online Banking Wurm Ramnit um Zeus-Quellcode für HTML Injection erweitert

Redakteur: Stephan Augsten

In seiner Ursprungsform galt der Wurm Ramnit als verhältnismäßig ungefährlich. Doch kürzlich wurde eine Variante des Schadcodes um Funktionen erweitert, die das Ausspähen und Manipulieren von Online-Banking-Daten ermöglichen. Security-Experten vermuten, dass die Entwickler des Zeus-Trojaners ihre Finger im Spiel haben.

Anbieter zum Thema

Malware-Forscher des Sicherheitsanbieters Trusteer haben festgestellt, dass der Wurm Ramnit modular um verschiedene Schadfunktionen erweitert wurde. Besonders auffällig war dabei, dass bestimmte Code-Module wie der Teil zum Einschleusen von HTML-Code in Webseiten offenbar dem Zeus-Trojaner entliehen wurden. Seit Mai 2011 kursiert der Quellcode von Zeus im Internet.

Durch die Modifikationen lässt sich Ramnit wie sein Vorbild Zeus für Online-Banking-Betrug nutzen. Neben der Manipulation Website-Eingabefeldern unterstützt der Schadcode nämlich nun auch Man-in-the-Browser-Attacken, mit denen sich die Zwei-Faktor-Authentifizierung von Banking-Portalen aushebeln lässt. Darüber hinaus kann der Wurm im geheimen ganze Transaktionsvorgänge anstoßen.

Als Ramnit im April 2010 erstmals in freier Wildbahn gesichtet worden war, diente er noch dazu, FTP-Zugangsdaten und Browser Cookies zu stehlen. Im Mai dieses Jahres hat Microsoft den Wurm Ramnit schließlich zum Microsoft Malicious Software Removal Tool hinzugefügt.

Noch ist unklar, ob die angepasste Ramnit-Variante bereits für Attacken in freier Wildbahn genutzt wurde. Durch seine Integration in den Browser und tiefe Systemmanipulationen operiert der Schadcode nämlich sowohl Client- als auch Host-seitig im Verborgenen. Selbst vor lokalen Sicherheitsmechanismen wie Antiviren-Programmen kann er sich verstecken.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:2052729)