Datenklau
Key-Logger als Firefox-Plugin
Ein Trojanisches Pferd installiert ein Plugin für Firefox, einen Key-Logger, der die besuchten Websites überwacht und beim Online-Banking eingebenen Anmeldedaten protokolliert.
Malware, die Tastatureingaben protokolliert, so genannte Key-Logger, gehört heute praktisch als fester Bestandteil zu Trojanischen Pferden, die auf den Diebstahl persönlicher Daten fokussiert sind. Selten findet man unter der Vielzahl solcher Schädlinge jedoch einen, der speziell auf Firefox abgestimmt ist. Der Antivirushersteller Bitdefender hat so einen entdeckt, der ein Firefox-Plugin installiert, um an die Anmeldedaten fürs Online-Banking zu kommen.
Der von Bitdefender als Trojan.PWS.ChromeInject bezeichnete Key-Logger besteht aus zwei Komponenten, einer Programmbibliothek und einer Javascript-Datei. Im Plugin-Verzeichnis von Firefox wird eine 22 KB große Datei "npbasic.dll" installiert, im Chrome-Verzeichnis das Script "browser.js".
Das Script filtert zunächst die mit Firefox aufgerufenen Web-Adressen und gleicht sie mit einer eingebauten URL-Liste ab. Diese enthält eine große Zahl URLs von Banken-Websites, teilweise mit Platzhaltern - zum Beispiel "banking.*.de", um mehrere Möglichkeiten abzudecken. Neben vielen COM-Domains von US-Banken sind vor allem Banken in Australien, Spanien, Italien und Großbritannien vertreten. Auch Login-Daten für Paypal und E-Gold werden bei Gelegenheit abgefangen.
Ruft der Anwender die Website einer enthaltenen Bank auf, protokolliert das Plugin die Anmeldeinformationen. Eine weitere Malware-Komponente ist dann dafür zuständig die ausspionierten Daten an die Online-Kriminellen zu senden. Der Schädling wird von Bitdefender als sehr wenig verbreitet eingeschätzt.
