71818

Zweischneidige Phishing-Attacke mit Malware

30.09.2008 | 15:33 Uhr |

Ein Trojanisches Pferd installiert nicht nur einen Schädling, der die Bankdaten des Benutzers abgreifen soll. Es verwandelt den PC zudem auch in einen kompletten Phishing-Server.

Phishing-Angriffe unterschiedlicher Art sind kein ganz neues Phänomen, ein vom Sicherheitsunternehmen Websense entdecktes Trojanisches Pferd kombiniert jedoch zwei Angriffstypen in eher ungewöhnlicher Weise. Der über eine Spam-Kampagne gestartete Angriff soll nicht nur die Bankdaten des Benutzers ausspionieren, der Rechner wird auch so manipuliert, dass er selbst zu einem Phishing-Server mutiert.

Elad Sharf und Nicolas Brulez liefern im Blog der Websense Security Labs eine detaillierte Analyse eines namenlosen Schädlings, der ein Phishing-Kit auf dem PC des Opfers installiert. Den Anfang macht in diesem Fall eine gefälschte Werbekampagne eines peruanischen Mobilfunkanbieters, diese ist jedoch beliebig austauschbar. Der Link in der Spam-Mail führt direkt zu einer EXE-Datei, die zur Tarnung eine echte Werbe-Seite des Mobilfunkunternehmens im Browser öffnet, wenn sie geöffnet wird.

Gleichzeitig lädt der Schädling eine weitere Datei von einem anderen Server nach, in diesem Fall von einer kompromittierten Sport-Website. Die Datei liegt mit dem unverfänglichen Namen "astats.d" auf diesem Server. Es handelt sich jedoch um eine EXE-Datei, um ein selbstauspackendes (SFX) Archiv. Dieses entpackt sich in ein neues Verzeichnis "\Windows\system32\config". Es ist ein komplettes Phishing-Kit inklusive Mini-Web-Server.

Ein darin enthaltenes Script manipuliert die hosts -Datei des Rechners so, dass Aufrufe bestimmter Banken-Websites auf den lokalen Rechner (127.0.0.1, localhost) umgelenkt werden. Die Dateien "firewall.exe" und "updater.exe" werden gestartet und von einem weiteren Script in die Windows-Registry eingetragen, sodass sie bei jedem Windows-Start geladen werden.

Die firewall.exe ist der Web-Server, der auf dem für HTTP üblichen Port 80 auf eingehende Verbindungen wartet. Die updater.exe macht, was der Dateiname vermuten lässt: sie aktualisiert in regelmäßigen Abständen die Phishing-Site auf dem PC. So kann sie die Web-Adresse des Servers, an den die ausspionierten Daten geschickt werden, auf dem neuesten Stand halten, falls der Server dicht gemacht wird. Die Täter können in einem solchen Fall den lokalen Web-Server (die firewall.exe) über ein Schlüsselwort beenden und für eine Weile ruhen lassen.

Die Phisher erhalten auf diese Weise ein äußerst flexibel einsetzbares Phishing-Paket mit doppeltem Nutzen. Sie können die Anmeldedaten lokaler Benutzer abgreifen und haben mit den kompromittierten Rechnern ein Netzwerk von Phishing-Servern, dessen Teile sie nach Belieben aktivieren oder deaktivieren können. Diese Masche scheint recht beliebt zu sein, denn die Websense-Forscher haben noch mindestens einen weiteren Schädling dieser Art entdeckt.

0 Kommentare zu diesem Artikel
71818