Das Ausspionieren von Bankdaten durch eingeschleuste Schädlinge ist schon lange Standard. Inzwischen haben die Malware-Programmierer auch die Zugangsdaten für Online-Kasinos ins Visier genommen. Dies berichten Malware-Forscher des finnischen Antivirusherstellers F-Secure . Sie haben im Code einer Schädlingsfamilie Hinweise auf etliche Poker-Websites und andere Websites für Online-Glücksspiele entdeckt.
Die Schädlingsfamilie “Zbot” gehört zu den vielen Trojanischen Pferden, die verbreitet werden, um bei ihren Opfern die Zugangsdaten fürs Online-Banking auszuspionieren und an die Täter zu melden. Diese räumen dann die Konten leer. Im Blog von F-Secure berichten die Malware-Forscher über eine kürzlich entdeckte neue Zbot-Variante, die auch auf Online-Kasinos zielt.
Der Schädling überwacht, welche Websites mit dem infizierten Rechner angesteuert werden und wird bei bestimmten, voreingestellten Web-Adressen hellhörig. Dazu zählen neben Banken auch etliche Online-Kasinos. Diese sind für die Online-Kriminellen deshalb interessant, weil es auch dort echtes Geld zu holen gibt und nicht nur virtuelles Spielgeld wie bei vielen Online-Spielen.
Außerdem kann man Spiele zu seinen Gunsten manipulieren, wenn man mehrere gestohlene Konten kontrolliert. Schließlich eignen sich Online-Kasinos auch als Geldwaschanlagen, etwa für das Geld, das die Täter von ausspionierten Bankkonten gestohlen haben. Allein in der Malware-Variante Zbot.XF haben die Spezialisten von F-Secure die Adressen von 65 Online-Kasinos entdeckt.
Die Zbot-Familie operiert auch mit Rootkits als Tarnkappen. Anzeichen für eine Infektion mit einer Zbot-Variante kann die Existenz eines Verzeichnisses “wsnpoem” unter Windowssystem32 sein. Darin finden sich die Dateien “video.dll” und “audio.dll”, in denen Zbot gestohlene Daten speichert. Das Verzeichnis wird mit Hilfe eines Rootkits versteckt. Der Schädling selbst steckt in der Datei “ntos.exe” oder “oembios.exe” unter Windowssystem32.
Zbot-Schädlinge werden als Mail-Anhänge verbreitet, zum Beispiel in gefälschten UPS-Mails, oder als Drive-by Downloads auf kompromittierten Websites.