Suchen

FTP Malware goes Online Banking Wurm Ramnit um Zeus-Quellcode für HTML Injection erweitert

| Redakteur: Stephan Augsten

In seiner Ursprungsform galt der Wurm Ramnit als verhältnismäßig ungefährlich. Doch kürzlich wurde eine Variante des Schadcodes um Funktionen erweitert, die das Ausspähen und Manipulieren von Online-Banking-Daten ermöglichen. Security-Experten vermuten, dass die Entwickler des Zeus-Trojaners ihre Finger im Spiel haben.

Der Wurm Ramnit kann neuerdings die Eingabefelder auf legitimen Online-Banking-Webseiten manipulieren. Bild: Trusteer
Der Wurm Ramnit kann neuerdings die Eingabefelder auf legitimen Online-Banking-Webseiten manipulieren. Bild: Trusteer
( Archiv: Vogel Business Media )

Malware-Forscher des Sicherheitsanbieters Trusteer haben festgestellt, dass der Wurm Ramnit modular um verschiedene Schadfunktionen erweitert wurde. Besonders auffällig war dabei, dass bestimmte Code-Module wie der Teil zum Einschleusen von HTML-Code in Webseiten offenbar dem Zeus-Trojaner entliehen wurden. Seit Mai 2011 kursiert der Quellcode von Zeus im Internet.

Durch die Modifikationen lässt sich Ramnit wie sein Vorbild Zeus für Online-Banking-Betrug nutzen. Neben der Manipulation Website-Eingabefeldern unterstützt der Schadcode nämlich nun auch Man-in-the-Browser-Attacken, mit denen sich die Zwei-Faktor-Authentifizierung von Banking-Portalen aushebeln lässt. Darüber hinaus kann der Wurm im geheimen ganze Transaktionsvorgänge anstoßen.

Als Ramnit im April 2010 erstmals in freier Wildbahn gesichtet worden war, diente er noch dazu, FTP-Zugangsdaten und Browser Cookies zu stehlen. Im Mai dieses Jahres hat Microsoft den Wurm Ramnit schließlich zum Microsoft Malicious Software Removal Tool hinzugefügt.

Noch ist unklar, ob die angepasste Ramnit-Variante bereits für Attacken in freier Wildbahn genutzt wurde. Durch seine Integration in den Browser und tiefe Systemmanipulationen operiert der Schadcode nämlich sowohl Client- als auch Host-seitig im Verborgenen. Selbst vor lokalen Sicherheitsmechanismen wie Antiviren-Programmen kann er sich verstecken.

(ID:2052729)