München, 8. Mai 2015 – F5 Networks (NASDAQ: FFIV) hat eine weitere Gefahr für Online-Banking-Kunden identifiziert: Eine neue “Man-in-the-Browser-Version der 2013 erstmals entdeckten VBKlip-Malware manipuliert IBAN-Daten, indem sie die über die Windows-Funktionalität “Copy & Paste in den Zwischenspeicher geladenen Informationen abfängt und stattdessen die Malware-eigene IBAN einsetzt. Den Banking-Trojaner hat F5 über sein Security Operations Center (SOC) entdeckt.
Das Infektionsschema beginnt mit einem Downloader, der zwei Dateien herunterlädt: wmc.exe und windows.sys (DLL). Nachdem die infizierte Windows.sys-DLL-Datei in den Arbeitsspeicher geladen ist, wird versucht, eine Kommunikation mit verschiedenen Domänen aufzubauen. Das Besondere an der neuen Version des Trojaners ist, dass die Komponenten einzeln heruntergeladen werden und jede eine eigene Funktion im Hinblick auf die gesamte Ablaufsteuerung des Betrugs hat. Der Vorgang ist in verschiedene Module aufgeteilt, wobei der Download der jeweils nächsten Komponente über Command-and-Control-Server-Kommunikation erfolgt, sodass es immens schwierig ist, alle involvierten Komponenten zu ermitteln und die Attacke als Ganzes zu analysieren. Eine Erweiterung zur vorherigen Version ist die Möglichkeit zur Synchronisierung. Konnte zuvor lediglich ein laufender Browserprozess beeinflusst werden, ist es nun möglich, mithilfe eines Mutex-Formats die IBAN in allen laufenden Prozessen auszutauschen. Die Malware richtet sich auf die drei wichtigsten Browser: Internet Explorer, Firefox und Chrome.
“Zwar ist dieser Ansatz für betrügerische Transaktionen relativ simpel im Vergleich zu bekannten Pendants wie Zeus, dennoch ist er sehr erfolgreich. Man kann sicher davon ausgehen, dass die Weiterentwicklung des Trojaners noch längst nicht am Ende angelangt ist, erklärt Markus Härtner, Senior Director Sales DACH bei F5 Networks.
Weiterführende technische Details zur Funktionsweise des VBKlip-Trojaners gibt es unter: https://devcentral.f5.com/articles/vbklip-banking-trojan-goes-man-in-the-browser.
ca. 2.100 Zeichen mit Leerzeichen
F5 Networks
Sibylle Greiser
Lehrer-Wirth-Straße 2
81829 München
Deutschland
E-Mail: s.greiser@f5.com
Homepage: http://f5.com/
Telefon: 0049 89-94383-0
Pressekontakt
Dr. Haffa & Partner GmbH
Anja Klauck
Burgauerstr. 117
81929 München
Deutschland
E-Mail: postbox@haffapartner.de
Homepage: http://www.haffapartner.de
Telefon: 089 993191-0