2016484

Dridex stiehlt Online-Banking-Daten via Word-Makro-Virus

06.11.2014 | 10:37 Uhr |

Eine uralte Schwachstelle in Microsoft-Word nutzt ein jetzt kursierender Banking-Trojaner aus. Anwender können sich aber leicht dagegen schützen.

Der Banking-Trojaner Dridex stiehlt Zugangsdaten für Online-Banking-Webseiten. Sicherheitsexperten entdeckten die fiese Schadsoftware erstmals Mitte 2014 und tauften sie damals auf den Namen Cridex. Nun ist Cridex wieder unterwegs und zwar in einer neuen Variante, die als Dridex bezeichnet wird. Und die sich über Microsoft Word verbreitet.
 
Denn diese Dridex-Variante nutzt eine rund ein Jahrzehnt alte Infektions-Technologie zur Verbreitung aus, nämlich Word-Makros. Das Makro ist in der Microsoft-Programmiersprache VBA (also Visual Basic for Applications) programmiert.
 
Trojaner kommt per Spam-Mail
 
Der Makro-Virus wird als Anhang an Spammails verbreitet. Die Spammails stammen überwiegend aus Vietnam, Indien, Taiwan, Südkorea oder China. Wird der Anhang geöffnet, so lädt das darin enthaltene Makro die eigentliche Schadsoftware per „Drive by Download“ von bestimmten Webseiten auf den Windows-Rechner herunter und startet die Malware dann dort.
 
Der beste Schutz vor Makro-Viren besteht wie gehabt darin die Ausführung von Makros in Microsoft Word zu unterbinden beziehungsweise nur Makros aus vertrauenswürdigen Dateien zu erlauben. Das ist seit langer Zeit standardmäßig der Fall, das konkrete Bedrohungspotential dürfte sich also zunächst einmal in Grenzen halten. Insbesondere für deutschsprachige Anwender.

Cleverer Virus

Allerdings versucht Dridex diese Sicherheitsmaßnahme auszuhebeln: Startet nämlich ein Betroffener das Makro und Makros sind tatsächlich in Word unterbunden, dann erscheint die Aufforderung Makros in Word zu aktivieren. Fällt der Anwender darauf herein und aktiviert er tatsächlich die Makro-Funktion in Word, dann lädt Dridex wie oben beschrieben weitere Malware herunter.

Trojaner erstellte eigene HTML-Formulare
 
Besucht ein Anwender nun die Online-Bankingseite bestimmter Banken wie der Bank of Scotland, Lloyd's Bank, Danske Bank, Barclays, Kasikorn Bank, Santander oder Triodos, dann erstellt Dridex zusätzlich eine in HTML-Code programmierte Webseite mit zusätzlichen Eingabeformularen. Der Online-Banking-Kunde wird aufgefordert, in diese Felder zusätzliche Daten einzugeben.
 
Allerdings scheinen diese fingierten Anfragen vor allem auf US-Amerikaner abzuzielen, weil unter anderem die in den USA zur Identifizierung wichtige “Social Security Number“ abgefragt wird. Inwieweit Dridex derzeit in der Lage ist auch deutschsprachige Anwender täuschen zu können, ist noch unbekannt. Die meisten Infektionen werden jedenfalls bis dato aus Australien, Großbritannien und den USA gemeldet. Sofern Sie wie oben beschrieben Makros generell in Word unterbinden, kann Ihnen nichts passieren.
 

0 Kommentare zu diesem Artikel
2016484