1878195

Neuer „ChewBacca“-Trojaner nutzt Tor für Attacken

18.12.2013 | 11:09 Uhr |

Das russische Sicherheits-Unternehmen Kaspersky Lab warnt vor einem neuen Trojaner, der ausgerechnet das Verschlüsselungs-Netzwerk Tor zur Verbreitung nutzt. Die neu entdeckte Schadsoftware hört auf den Namen einer bekannten Star Wars-Figur.

Der „ChewBacca“-Trojaner nutzt Tor als Infrastruktur - ähnlich wie beispielsweise die aktuelle Variante des ZeuS-Trojaners. So fasst Kaspersky die Quintessenz des neuen Schädlings zusammen. Das Tor-Netzwerk bietet damit ausgerechnet Cyberkriminellen Anonymität und Sicherheit für ihre C&C-Server-Infrastruktur (Command-and-Control). Der C&C-Server baut auf eine LAMP-Installation, die auf Linux, Apache, MySQL und PHP basiert. Die verwendeten PHP-Skripte enthalten die Funktionen des Servers, eines zum Hochladen der Keylogger-Dateien und eines zum Extrahieren der gewonnenen Speicherdaten.
 
Die Vorteile für die ChewBacca-Programmierer liegen auf der Hand: die verwendeten Server und die Betreiber bleiben anonym. Zudem wird die Sicherheit für die Ganoven erhöht. Der Nachteil für die Cyber-Schurken: Durch den langsameren Aufbau von Tor kann es zu Zeitüberschreitungen kommen.

„Tor in Schadsoftware einzubauen ist nicht einfach. Diese Hürde zu nehmen, bietet Vor- und Nachteile. Beispielsweise wird die Malware
größer und dadurch komplexer“, erklärt Marco Preuss, Director Europe, Global Research & Analysis Team bei Kaspersky Lab.

„ChewBacca“ fungiert als Keylogger und stiehlt Dateien oder Informationen aus den Speichern von anderen Prozessen, die auf den Servern der Cyberkriminellen hochgeladen werden.

Die Malware wird von Sicherheits-Software als „Trojan.Win32.Fsysna.fej“ erkannt. Eine akute Gefahr scheint von ChewBacca alias Trojan.Win32.Fsysna.fej aber noch nicht auszugehen, weil Kaspersky Lab bis jetzt noch keine Infizierungen feststellen konnte. „ChewBacca“ sei im Vergleich zur aktuellen ZeuS-Variante noch nicht öffentlich und würde lediglich in Untergrundforen angeboten. Der
Schädling befände sich wahrscheinlich noch in der Entwicklung oder er würde bisher „nur“ privat eingesetzt beziehungsweise verteilt, wie Kaspersky mutmaßt.
 
Der Schädling wurde nach der Star-Wars-Figur Chewbacca benannt, da beim Login zu den im Tor-Netzwerk verwendeten C&C-Servern ein Hintergrundbild von Chewbacca aus der aktuellen Mashup-Serie „A Games of Clones“ verwendet wird.

0 Kommentare zu diesem Artikel
1878195