Hochautomatisierter Schädling hebelt Faktor-Zwei-Authentifizierung aus und attackiert gezielt Online-Banking-Nutzer in Deutschland, Österreich und der Schweiz
Kaspersky Lab warnt vor einer neuerlichen Welle des Banking-Trojaners „Emotet“ [1]. Der Schädling hat explizit CHIP-TAN- und SMS-TAN-Nummern und das Geld von deutschsprachigen Bankkunden im Visier. Emotet wird über täuschend echt aussehende Spam-Mails verbreitet und bringt Anwender mittels Social-Engineering-Methoden [2] dazu, sensible Bankdaten für eine angebliche Sicherheitsüberprüfung preiszugeben. Die abgefischten TAN-Nummern werden anschließend von den Cyberkriminellen für eine betrügerische Überweisung missbraucht. Die hochautomatisierte, modular aufgebaute und sich ständig weiter entwickelnde Cyberbedrohung ist speziell auf Kunden von Banken in Deutschland, Österreich und neuerdings in der Schweiz zugeschnitten, und treibt weiter ihr Unwesen.
Die erste Version von Emotet tauchte im Sommer 2014 auf, eine zweite im Herbst desselben Jahres. Die nun von Kaspersky Lab genauer analysierte dritte Version ist seit Februar 2015 aktiv und beinhaltet neben allen Funktionalitäten der Vorgängerversionen weitere Verbesserungen wie beispielsweise Pflegemaßnahmen im Code oder bessere Methoden der Tarnung.
„Der Schädling ist für Angriffe auf deutschsprachige Nutzer konzipiert. Bereits die ersten beiden Versionen hatten Nutzer von deutschen und österreichischen Banken im Visier. Mit der dritten Version werden nun die Vorbereitungen für den Angriff auf Schweizer Online-Banking-Nutzer getroffen. Denn: Obwohl die beim Social-Engineering-Trick genutzten Skripte für die Schweiz noch nicht final sind, gehen wir davon aus, dass dies demnächst geschieht. So werden auch Schweizer Bankkunden, deren System mit Emotet infiziert ist, Teil der Attacken“, so Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei Kaspersky Lab.
Verbreitung über Spam-E-Mails
Emotet verbreitet sich über deutschsprachige und professionell aufgemachte Spam-E-Mails – die dabei genutzten Bilder werden sogar von Original-Webseiten einspielt. Nutzer infizieren sich, wenn sie einen kompromittierten E-Mail-Anhang öffnen, wobei hier die Datennamen des als ZIP gepackten Anhangs extra lang gewählt sind, damit die verräterische Endung „.exe“ bei vielen Nutzern in der Spalte des Windows Explorers nicht mehr auftaucht. Eine weitere Möglichkeit ist der Verweis via in der E-Mail angegebenem Link auf eine legitime, aber kompromittierte Webseite. Solche E-Mails mit schädlichen Links stammen scheinbar auch von anderen großen Unternehmen, etwa von der Deutschen Telekom AG oder DHL International GmbH, deren Erscheinungsbild perfekt gefälscht wurde [3].
Zwei-Faktor-Authentifizierung mittels Social Engineering außer Gefecht gesetzt
Emotet verfügt über diverse Vorlagen für deutsche und österreichische Banken. Wird über ein infiziertes System eine Bankseite aufgerufen, und entspricht die Bank den Emotet-Vorlagen, wird komplett automatisiert mithilfe eines Skripts eine Mitteilung im Browser beispielsweise mit folgendem Inhalt erzeugt: Wegen der Einführung eines neuen Sicherheitssystems habe der Nutzer nur beschränkten Zugriff auf sein Konto, solange bis er eine Testüberweisung durchgeführt hat. Fällt der Nutzer auf den Social-Engineering-Trick herein, erfolgt mit der abgefischten CHIP-TAN- oder SMS-TAN-Nummern – ebenfalls automatisiert – eine reale Überweisung auf die Konten der Cyberkriminellen.
Modularer Aufbau ermöglicht diverse Aktionen
Emotet ist modular aufgebaut. Zentraler Baustein ist ein sehr gut getarnter Loader, der sich über den oben geschilderten Verbreitungsweg in ein System einnistet und Kontakt zum Kontroll-Server (Command & Control-Server) hält. Wird der Loader auf einer virtuellen Maschine gestartet – was oft ein Zeichen dafür ist, dass ein Analyst dem Schädling auf der Spur ist –, versendet er seine Kommandos an falsche IP-Adressen, die nicht mit dem eigentlichen Kontroll-Server verbunden sind. Ein Analyst könnte durch die ausbleibenden Antworten der Server von einer kalten Fährte ausgehen.
Das so genannte Banker-Modul zur Modifizierung von HTTP(S)-Verkehr ermöglicht die oben beschriebene Manipulation des Daten-Streams, also der Testüberweisungsanzeige im Browser. Das böswillige Banker-Modul wird nur dann aktiv, wenn die Anfrage mit der echten Seite einer Bank verbunden wird, deren Inhalt von Emotet durch lokal injizierten Code verändert wird.
Kaspersky Lab: Wie man sich schützt
Da der Trojaner stark auf den Faktor Social Engineering setzt, sollten Nutzer neben einer adäquaten IT-Sicherheitslösung – alle Produkte von Kaspersky Lab [4] erkennen die Emotet-Varianten unter dem Namen Trojan-Banker.Win32.Emotet – besondere Vorsicht walten lassen, wenn es um veränderte Banking-Prozesse und die Eingabe von sensiblen Daten wie TAN-Nummern geht. Wer unsicher ist, sollte zur Sicherheit immer die Authentizität einer solchen Anfrage bei seiner Bank telefonisch prüfen.
Eine detaillierte Analyse zu Emotet ist unter http://www.viruslist.com/de/analysis?pubid=200883880 abrufbar.
[1] http://www.viruslist.com/de/analysis?pubid=200883880
[2] Detaillierte Infos darüber, wie Cyberkriminelle die Psyche des Menschen für ihre Zwecke ausnutzen (Social Engineering), sind unter http://cyberpsychology.kaspersky.de/hp409/Social-Engineering.htm abrufbar
[3] siehe http://newsroom.kaspersky.eu/fileadmin/user_upload/de/Images/People/Kaspersky_Emotet_DHL-Spam.png
[4] http://www.kaspersky.com/de/total-security-multi-device
Nützliche Links:
- Report “Banking-Trojan Emotet”:
http://www.viruslist.com/de/analysis?pubid=200883880 - Cyberpsychologie „Phänomen Social Engineering“:
http://cyberpsychology.kaspersky.de/hp409/Social-Engineering.htm - Kaspersky Total Security – Multi-Device:
http://www.kaspersky.com/de/total-security-multi-device