TOR-Kommunikation

Neuer Malware-Baukasten Atrax entdeckt

Mit Atrax wird in Untergrundforen ein relativ preisgünstiger Malware-Baukasten verkauft, der etwa zum Aufbau eines Bot-Netzes dienen kann. Die Kommunikation wird über das TOR-Netzwerk abgewickelt, Zusatzmodule erweitern die Funktionalität.

Malware-Bedrohung

© Weka

Malware-Bedrohung

Auf einschlägigen Untergrundmarktplätzen für kriminelle Dienstleistungen wirbt ein Malware-Programmierer für sein Produkt, einen preisgünstigen Malware-Baukasten namens Atrax. Der Name ist einer australischen Spinnengattung (Trichternetzspinne) entlehnt. Für nur 250 US-Dollar, zahlbar ausschließlich in der Cyber-Währung Bitcoin , erhalten Online-Kriminelle das Grundprogramm. Es lässt sich durch Zusatzmodule erweitern, die zum Teil mehr kosten als das Hauptprogramm.

Das dänische Sicherheitsunternehmen CSIS hat Atrax untersucht und seine Analyse veröffentlicht. Atrax kann Benutzerdaten aus dem Browser extrahieren, Bitcoins generieren und Formulardaten abgreifen. Auch für DDoS-Angriffe ist ein Add-on erhältlich. Atrax spannt aus den verseuchten Rechnern ein Bot-Netz auf, dessen Bots über das TOR-Netzwerk mit dem Mutterschiff kommunizieren. Da der Datenverkehr über TOR ohnehin verschlüsselt ist, verzichtet der Programmierer auf eine eigene Verschlüsselung.

Der Atrax-Programmierer preist sein Machwerk zudem als den ersten erhältlichen Bot an, der auch mit Windows 8 funktioniere. Die erheblich Dateigröße von etwa 1,2 MB erklärt er mit der TOR-Integration sowie enthaltenem 32- und 64-Bit-Code. Um bei der Erstinfektion der Opfer nicht aufzufallen, bietet er einen Web-Downloader an, der nur zwei Kilobytes groß sein soll. Im Grundpreis enthalten sind kostenlose Updates und Bug-Fixes sowie Support.

Zu den wenigen bislang angebotenen Add-ons gehören eine DDoS-Modul für 90 Dollar, ein Form-Grabber für 300 Dollar, ein Plugin-Stealer für 110 Dollar sowie ein experimentelles Coin-Miniing-Modul für 140 Dollar, das Bitcoin und Litecoin unterstützt. Der Form-Grabber greift eingegebene Formulardaten im Internet Explorer sowie in Firefox und Chrome ab. Der Plugin-Stealer kann die gesamte Browser-Kommunikation ausspionieren und unterstützt alle üblichen Browser, auch Opera und Safari, sowie etliche Instant Messenger und gängige Mail-Programme.

Mit der Kommunikation über das TOR-Netzwerk folgt der Atrax-Programmierer einem aktuellen Trend. So hat sich herausgestellt, dass der sprunghafte Anstieg der TOR-Nutzerzahlen im August auf das Bot-Netz Mevade zurück geht, das seine Kommunikation just zum Zeitpunkt des beobachteten Anstiegs auf TOR umgestellt hatte.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…