Trojanisches Pferd führt heimlich Überweisungen aus

[Christoph]

Zitat:

Ein Schädling neuen Typs kapert beim Online-Banking die Browser-Sitzung und führt noch Transaktionen durch, wenn der Kontoinhaber glaubt, er habe sich schon längst beim Bank-Server abgemeldet. Auf der Festplatte hinterlässt "OddJob" kaum Spuren, er ist ein echter Online-Schädling.

Online-Banking sei sicher, wiederholen die Banken stereotyp, weil sie damit eine Menge Geld sparen. Doch das gilt bestenfalls, wenn der vom Kunden dazu benutzte Rechner nicht mit Malware verseucht ist. Welche Tricks Online-Kriminelle einsetzen, um Zugriff auf fremde Bankkonten zu erlangen, illustrieren kürzlich publizierte Informationen über einen neuartigen Schädling namens "OddJob".

Amit Klein vom Sicherheitsunternehmen Trusteer berichtet im Blog seiner Firma über ein Trojanische Pferd, das seine Kollegen und er bereits seit einigen Monaten beobachten. Bislang seien die vermutlich in Osteuropa beheimateten Hintermänner von OddJob vor allem bei Banken in den USA, Polen und Dänemark aktiv geworden. Laufende Behördenermittlungen hätten eine frühere Veröffentlichung der gesammelten Informationen verhindert.

Die Täter scheinen sehr intensiv an der Weiterentwicklung ihres Schädlings zu arbeiten, denn Trusteer habe häufige Veränderungen an den von OddJob an den Tag gelegten Techniken festgestellt, meldet Klein. Die Code-Analyse der von Klein als völlig neuer Schädlingstyp bezeichneten Banking-Malware könne daher auch nicht als abgeschlossen gelten.

OddJob hängt sich in den Web-Browser, Internet Explorer oder Firefox, um den Datenverkehr zwischen dem Kunden und seiner Bank zu belauschen und zu manipulieren. Er fängt die Session-ID ab, die den Kundenrechner gegenüber der Bank identifiziert. Mit dem Ausspionieren von Login-Daten und dergleichen muss er sich nicht aufhalten - das Opfer ist ja bei seiner Bank eingeloggt. OddJob sendet alle Daten in Echtzeit an sein Mutterschiff, den Kommando-Server der Täter.

Diese können damit über den PC ihres Opfers Überweisungen auslösen oder die des Kunden manipulieren, etwa den Überweisungsempfänger und den Betrag ändern. Das Opfer bekommt davon nichts mit, weil es manipulierte Web-Seiten zu sehen bekommt. Sie zeigen dem Bankkunden die Ergebnisse seiner Transaktionen, die er erwartet.

Meldet er sich dann bei der Bank ab, unterdrückt OddJob dieses Kommando und hält die Verbindung offen, zeigt dem Kunden jedoch eine Bestätigung. So können die Täter weiter das Bankkonto plündern, während sich ihr Opfer in trügerischer Sicherheit wiegt.

OddJob speichert seine Konfiguration nicht auf der Festplatte des Opfers, denn derartige Festplattenaktivitäten könnten den Verdacht eines Antivirusprogramms erregen, das mit Verhaltensanalyse arbeitet - wie meisten modernen Virenscanner. Vielmehr holt sich OddJob stets eine frische Konfigurationsdatei vom Server der Täter.

Die von OddJob benutzte Technik des "Session-Hijacking" ist im Grunde schon lange bekannt. Neu ist lediglich, dass ein Schädling damit offenbar so virtuos umgehen kann. Welche Antivirusprogramme OddJob und seine Varianten bereits zuverlässig erkennen, ist nicht bekannt.

Quelle: http://www.magnus.de/news/trojanisch...s-1093262.html

[ZombyKillah]

Gibts die Warnung nicht schon fast ein Jahr?!
Müsste suchen, aber glaube mich zu erinnern, dass das damals ein Problem war, weil die Opfer oft Monate lang nichts bemerkt haben ... weil der Trojaner die Browser so komprimiert hat, dass die falschen Überweisungen nicht erschienen sind.

War glaub ich irgendwas mit dem Zeus ...

[Christoph]

Das kommt wahrscheinlich immer wieder, leider, unter neuem Namen und mit verbesserter "Technologie".
Im Blog, siehe Link, wird Zeus mehrfach erwähnt.
http://www.trusteer.com/blog/

[Autrob]

ich glaube aber schon, daß das nicht immer funktioniert.
die tac sms gilt für eine gezielte transaktion, in der sms sind empfänger kontonummer und code drin.

selbst wenn diese leute die überweisung abfangen, können sie keine zweite auslösen.
oder täusch ich mich?

[Christoph]

Ich bin zu wenig Malwareexperte, kann es mir aber auch nicht vorstellen, normalerweise gibt´s beim Online-Banking auch ein Limit, das man nicht zu hoch ansetzen sollte; der TAC gilt auch IMHO nur einige Minuten.

[ZombyKillah]

was nutzt die tac sms eigentlich?!?!?
Das GSM braucht ... glaub ich nur noch 30 sec. auf einen laptop ... also kann es durchaus sein, dass auch die SMS von Verbrechern abgefangen wird.

Die Nummer wird auf der Bank-Web-Page bekannt gegeben ...
Würde mich doch wundern, wenn die Mafia nicht schon längst begonnen hätte die nummern Schlüsseln zuzuordnen ...

However ...
der einfachste Weg in der Zeit der Smartphones ist es vermutlich einen Handy Virus parallel zu verbreiten der die entsprechende SMS ändert ...

Den Virus könnte man zum Beispiel beim Sync mit dem PC einschleusen ... oder gezielt versuchen ein Handy anzugreifen nachdem die Nummer bekannt gegeben wurde...
Meines Wissens reicht es eine "Service" SMS zu senden um Nachrichten automatisch weiterzuleiten.

Alles in allen sehe ich keinen Sinn darin den TAN per SMS zu verschicken.
Es gibt zu viele Angriffspunkte ...
... der einfachste wurde in Australien genutzt ... da wurde einfach mit einen Neuvertrag die Handynummer übernommen ... auf eine anonyme pre-payed card ... und schon war das System ausgehebelt

[müllersq]

Tja, das sicherste Online-Banking ist halt jenes, das man nicht macht.

[Autrob]

Zitat:

Zitat von ZombyKillah

was nutzt die tac sms eigentlich?!?!?
Das GSM braucht ... glaub ich nur noch 30 sec. auf einen laptop ... also kann es durchaus sein, dass auch die SMS von Verbrechern abgefangen wird.

Die Nummer wird auf der Bank-Web-Page bekannt gegeben ...
Würde mich doch wundern, wenn die Mafia nicht schon längst begonnen hätte die nummern Schlüsseln zuzuordnen ...

However ...
der einfachste Weg in der Zeit der Smartphones ist es vermutlich einen Handy Virus parallel zu verbreiten der die entsprechende SMS ändert ...

Den Virus könnte man zum Beispiel beim Sync mit dem PC einschleusen ... oder gezielt versuchen ein Handy anzugreifen nachdem die Nummer bekannt gegeben wurde...
Meines Wissens reicht es eine "Service" SMS zu senden um Nachrichten automatisch weiterzuleiten.

Alles in allen sehe ich keinen Sinn darin den TAN per SMS zu verschicken.
Es gibt zu viele Angriffspunkte ...
... der einfachste wurde in Australien genutzt ... da wurde einfach mit einen Neuvertrag die Handynummer übernommen ... auf eine anonyme pre-payed card ... und schon war das System ausgehebelt

die sicherheit liegt darin, daß eine bestimmte transaktion mit einem neu generierten, kurzzeitig gültigen code funktioniert.

wird der code abgefangen, kann damit keine beliebige andere transaktion durchgeführt werden. und wenn er 1000 tacs hat - es dürfte nicht funktionieren.

soweit mein verständnis

[FendiMan]

Genau.
Das kann gar nicht funktionieren, nicht einmal mit Tans aus einer Liste, so ein Tan kann ja auch nur einmal verwendet werden.
Und ob eine Überweisung geklappt hat, sieht man ja sofort.

[Mobiletester]

Nur die aktuelle Überweisung kann geändert werden, dafür gibt es auch einen TAN.
Da kannst mit gefakten Seiten den Anwender täuschen.
Blöd wird es wenn der Angreifer den Algorithmus des TAN Generators kennt. Dann ist das Konto offen.