Cloud-Malware

ZeuS-Schädling spioniert durch die Wolke

Auf Online-Banking spezialisierte Schädlinge gehen neue Wege. Auch in der Online-Kriminalität geht der Trend zur Nutzung der Cloud als dynamisch aktualisierbarem Konfigurationsspeicher.

Die Cloud wird für Online-Kriminelle immer interessanter.

© G Data

Die Cloud wird für Online-Kriminelle immer interessanter.

Die Cloud ist in aller Munde, auch Online-Kriminelle nutzen den anhaltenden Trend, um ihre Schädlinge dynamisch an sich verändernde Aufgaben anzupassen. Wie der Bochumer Antivirushersteller G Data in seinem Blog meldet, setzen Trojanische Pferde, die auf Datendiebstahl beim Online-Banking spezialisiert sind, für die flexible Anpassung ihrer Konfiguration auf die Cloud.

Traditionell werden Banking-Trojaner mit einer statischen Konfigurationsdatei sowie einem Satz vorgefertigter HTML-Fragmente an die Opfer ausgeliefert. Darin ist festgelegt, welche Websites beim Aufruf durch den Benutzer angegriffen werden sollen. Für jede anzugreifende Webseite ist ein Stück HTML-Code ("Webinject") vorhanden, das der Schädling als "Man in the Browser" in die im Browser geladene Web-Seite injiziert.

Soll der Schädling neue Websites ins Visier nehmen, müssen die Täter der Malware eine neue Konfigurationsdatei übermitteln, die auch passende Webinjects mitliefert. Das hat bislang meist ganz funktioniert, ist aber umständlich und unflexibel. Zudem können die Malware-Spezialisten der Antivirushersteller einen solchen Schädling relativ leicht analysieren, um Gegenmittel zu entwickeln.

Diese Nachteile des traditionellen Ansatzes eliminieren Online-Kriminelle inzwischen durch die Nutzung der Cloud. Die bekannte Schädlingsfamilie ZeuS macht zumindest ansatzweise vor, wie das aussehen kann. Die mitgelieferte Konfigurationsdatei enthält noch die URLs der anzugreifenden Banken-Websites und auch den zu injizierenden Code. Dieser Code besteht jedoch nur noch aus wenigen Zeilen Javascript, die den eigentlichen Code aktuell aus dem Web nachlädt.

So können die Täter der HTML- und Javascript-Code aktuell halten, ohne ihren Schädlingen neue Konfigurationsdateien senden zu müssen. Außerdem können sie die Ausführung der Angriffsroutinen von Bedingungen abhängig machen. So kann der Schädling etwa die Füße still halten und nichts tun, wenn Geodaten oder IP-Adresse nahelegen, dass gerade ein Malware-Forscher vor dem Rechner sitzt und kein echtes Opfer.

Weiter perfektioniert wird der Cloud-Ansatz durch den Banking-Trojaner Ciavax. Seine Konfiguration enthält kaum noch statische Elemente. Vielmehr injiziert er in jede im Browser geladene Web-Seite die gleichen wenigen Zeilen Javascript-Code. Dieser Code tauscht dynamisch Daten mit einer PHP-Seite des Angreifers aus. Erst dadurch erhält der "Mann im Browser" Anweisungen, ob und wie er angreifen soll. Die Täter somit können sehr kurzfristig neue Banken-Websites ins Repertoire nehmen oder auf geänderte Seiten reagieren. Zudem wird die Analyse des Schädlings für Malware-Forscher erheblich erschwert.

Mehr zum Thema

Symbolbild für Internet-Sicherheit und Spionage
Nach Hacking-Team-Enthüllungen

Kritisches Flash Player Update als Download: Nach den Hacking-Team-Enthüllungen werden die aufgedeckten Sicherheitslücken bereits ausgenutzt.
Flash-Lücke entdeckt
Hacking Team Leak

Der Hackerangriff auf die italienische IT-Firma Hacking Team bringt weitere schwere Sicherheitslücken in Adobe Flash ans Tageslicht.
Firefox - Flash Player Block
Mozilla und Facebook reagieren auf neue Exploits

Mozilla reagiert auf die jüngst aufgedeckten Zero-Day-Lücken in Adobes Flash Player. Im Browser Firefox wird das Flash-Plugin vorerst per…
Spam-Mails
Betrug per E-Mail

Eine vermeintliche E-Mail von Amazon führt zur Katastrophe: Ein Video zeigt, wie schnell unachtsame Internet-Nutzer Phishing-Mails zum Opfer fallen…
E-Mails am PC: nicht immer sicher!
"Ihre Aktion ist erforderlich"

Eine vermeintliche E-Mail von Paypal (Betreff: "Ihre Aktion ist erforderlich") wegen der SEPA-Umstellung ist ein Phishing-Angriff. Vorsicht!