VIRENDEFINITION
Virentyp: Advanced Persistent Threat, Trojaner, Malware.
Was ist Metel?
Bei Metel (auch bekannt als „Corkow“) handelt es sich um einen Banking-Trojaner, der 2011 entdeckt wurde und für Angriffe auf Online-Banking-Services genutzt wurde. 2015 begann die Metel-Gruppe damit, Banken und Finanzinstitute direkt anzugreifen.
Was kann sie tun?
Nach der Infektion bewegen sich die Angreifer mithilfe legitimer Tools für Penetrationstests seitlich im Netzwerk (Lateral Movement) und stehlen Passwörter von ihren Opfern (Einstiegspunkte), um auf die Computer innerhalb des Unternehmens zuzugreifen, über die der Zugriff auf Geldüberweisungen möglich ist. Mit diesem Zugriff konnte die Gruppe einen raffinierten Trick umsetzen und automatisch die Kontostände von Transaktionen an Geldautomaten zurücksetzen. Mit diesem Trick konnten sie über Geldautomaten Geld von Zahlkarten abheben, deren Kontostand durch die Abhebung unverändert blieb. So ließ sich die Transaktion an verschiedenen Geldautomaten wiederholen.
Wer sind die Opfer dieser Angriffe?
Bei den bisherigen Opfern handelt es sich ausschließlich um Banken und Finanzinstitute.
Hierbei griffen sie hauptsächlich folgende Ziele an:
- In Banken – die Online-Banking-Datenbank: Kriminelle können die Kontostände von Karten manipulieren.
- In Unternehmen – einen Computer in der Buchhaltungsabteilung mit einem Client-Bank-System, das Zugriff auf Geldüberweisungen hat: Die Kriminellen können die Daten echter Überweisungen ersetzen oder manuell betrügerische Transaktionen verarbeiten.
- Server von Payment-APIs – Software, die angibt, wie viel Geld zu einer bestimmten Telefonnummer überwiesen werden soll. Kriminelle manipulieren diese API, indem sie sie glauben lassen, ein Client überweise 10 000 Rubel (ca. 140 Euro) an eine Vielzahl von Telefonnummern.
Bin ich gefährdet?
Bisher entdeckten die Kaspersky-Forscher nur Angriffe in Russland. Es gibt jedoch verschiedene Gründe, die nahelegen, dass die Infektion viel weiter reicht. Deshalb sollten Banken weltweit ihr System auf eine Infektion untersuchen.
Wie erkenne ich, ob mein Computer infiziert ist?
Kaspersky-Produkte erkennen und blockieren die Malware der Metel-Gruppe erfolgreich mit folgenden Erkennungsnamen:
Trojan-Dropper.Win32.Metel; Backdoor.Win32.Metel; Trojan-Banker.Win32.Metel
Gefährdungsindikatoren finden Sie in einem Blog-Beitrag auf Securelist.
Wie kann ich mich schützen?
Um die Sicherheit noch weiter zu steigern, wird Unternehmen empfohlen, System Watcher zu verwenden – einen Aktivitätsmonitor, der das BSS-Modul (Behaviour Stream Signatures) zur Verhaltensanalyse enthält. Solche Aktivitätsmonitore sind in allen modernen Lösungen enthalten.
Um auf Nummer sicher zu gehen, sollten Sie auch fortschrittliche Anti-Malware-Lösungen, wie z. B. Kaspersky Endpoint Security for Business, einsetzen. Schulen Sie darüber hinaus Ihr Sicherheitsbewusstsein, damit Sie Phishing-E-Mails erkennen, wenn sie in Ihrem Posteingang landen.
Aber natürlich reicht eine Fülle leistungsstarker Endpoint-Sicherheitsebenen nicht aus: Zum Schutz vor Spear-Phishing – einer der beliebtesten Methoden für die Erstinfektion – sind zuverlässige Lösungen für E-Mail-Sicherheit erforderlich. Kaspersky Security for Mail Server scannt eingehende E-Mails auf schädliche Anhänge und URLs und reduziert so deutlich die Wahrscheinlichkeit, dass Malware Ziele im Unternehmen erreicht.
