71840

Malware fügt neue Formularfelder ein

29.09.2008 | 15:51 Uhr |

Ein Trojanisches Pferd kann zusätzliche Eingabefelder in Online-Formulare von Web-Seiten einfügen. Der Schädling kann auf diese Weise vertrauliche Daten abgreifen, etwa auf der Website der Bank eines Opfers.

Ein bereits seit längerer Zeit existierendes Trojanisches Pferd ist mittlerweile für eine größere Zahl von Online-Betrügern verfügbar. Wie Sicherheitsforscher von RSA Consumer Solutions berichten, benutzt der Schädling eine Methode namens "HTML-Injection", um zusätzliche Eingabefelder in Online-Formulare einzufügen. Die zunehmende Verbreitung sei auf einen Preisverfall zurück zu führen. Kostete "Limbo" auf dem Untergrundmarkt vor zwei Jahren noch 5000 US-Dollar und vor einem Jahr 1000 Dollar, ist der Schädling nun für 350 Dollar erhältlich.

Durch eine enge Integration mit dem Browser kann Limbo arbeiten, während Anwender gerade die Website ihrer Bank besuchen. Limbo kann das Aussehen der Web-Seite verändern, Formularfelder einfügen und Daten abgreifen. Uri Rivner von RSA berichtet, es sei für den Anwender kaum erkennbar, dass gerade etwas falsch laufe. Das einzige Anzeichen sei, dass Daten abgefragt würden, deren Eingabe die Bank bislang nie verlangt hatte.

Limbo kann auf verschiedenen Wegen auf den Rechner gelangen - im Grunde auf allen bekannten Wegen, die zum Einschleusen von Schädlingen genutzt werden. Seit einiger Zeit sind so genannte Drive-by Downloads recht verbreitet, bei denen eine Schwachstelle im Browser ausgenutzt wird, um einen Schädling ohne jede Interaktion mit dem Anwender einzuschleusen. Aber auch klassische Wege wie Mail-Anhänge oder Popups auf Web-Seiten, die zum Download eines Zusatzprogramms, etwa eines Video-Codecs auffordern, werden genutzt.

Einmal installiert, kann der Schädling die Web-Nutzung des Anwenders überwachen und bei bestimmten Websites, etwa denen von Banken, zusätzliche Abfragen einbauen und die Eingaben abfangen. Eine SSL-Verschlüsselung der Verbindung zur Bank-Website schützt hier nicht, da Limbo auf Anwenderseite an der Quelle sitzt. Der Schädling nutzt in neueren Varianten, die auch unter Namen wie "Zeus" oder "WSNPOEM" bekannt sind, sogar selbst SSL-verschlüsselte Verbindungen für seine Kommunikation mit dem Mutterschiff.

0 Kommentare zu diesem Artikel
71840