Alle auf einem Server
Drei Botnets zielen auf deutsche Bankkunden
Malware-Forscher haben auf einem Web-Server gleich drei Botnets entdeckt, die allesamt darauf abzielen, die Kontodaten von Kunden deutscher Banken auszuspionieren.
Bei Untersuchungen eines auf SpyEye basierenden Botnetzes sind Forscher des Antivirusherstellers Trend Micro auf einen Kommando-Server gestoßen, der neben SpyEye auch noch weitere Botnetze beherbergt. Sie haben offen zugängliche Unterverzeichnisse gefunden, die Steuerkonsolen für diese Botnetze bereit halten.
Kevin Stevens berichtet im Trend Micro Malware Blog über die Untersuchung der Botnetze. Das zweite Botnetz neben SpyEye arbeitet mit der Bot-Malware URLZone, auch Bebloh genannt. Die Kommandokonsolen sind beide in englischer Sprache. Das dritte Botnetz hat keinen erkennbaren Namen und wird über eine russische Bedienoberfläche gesteuert. Alle drei zielen ausschließlich auf Kunden deutscher Banken. Sie können mit der so nur in Deutschland üblichen Bankleitzahl (BLZ) umgehen.
Die auf den infizierten Rechnern der Opfer installierte Malware spioniert also über den Web-Browser nicht nur den Namen, die Kontonummer nebst PIN und den Kontostand aus, sondern auch die BLZ. Das "Spencerlor" getaufte russische Botnetz speichert die Daten in einer SQL-Datenbank, URLZone nutzt eine TXT-Datei. Die Web-Konsolen bieten Zugriff auf die gesammelten Daten und die Möglichkeit Befehle an die Bots zu senden sowie Transaktionen anzustoßen.
Die Malware-Forscher haben ihre Ermittlungen noch nicht abgeschlossen und wollen zu einem späteren Zeitpunkt weitere Erkenntnisse veröffentlichen.
