München, 07. Juli 2015 – F5 Networks (NASDAQ: FFIV) hat eine neue Gefahrenquelle für Online-Banking-Nutzer entdeckt: Der sogenannte “Slave”-Trojaner wird von Cyberkriminellen für den Diebstahl von Credentials und der Identität, für IBAN-Manipulationen und automatische Überweisungen verwendet. Erstmals tauchte der in Visual Basic geschriebene Schädling im März auf. Inzwischen ist aber eine neue, deutlich ausgereiftere Variante im Umlauf. Beide Varianten haben die Sicherheitsexperten von F5 im firmeneigenen Security Operations Center (SOC) gründlich analysiert.
Die ursprüngliche Version von Slave tauscht lediglich per “Man-in-the-Browser in zwei Schritten die eingegebenen IBAN-Daten aus und ändert das Empfängerkonto bei einer Überweisung. Die neue Variante hingegen nutzt ausgefeilte Tarnmechanismen und Webinjektionen und ähnelt damit dem berüchtigten Trojaner-Baukasten “Zeus”.
Slave kommuniziert mit einem Command & Control Server über einen im Browser erstellten Thread. Beim Browserstart verschickt die Malware einen HTTP-Request für die Webinjektion und erhält sie in Plain-Text als JSON-Objekt. Der Schadcode wird beim Online-Banking injiziert – und ist für jede Bank unterschiedlich. Die manipulierte Konfiguration bleibt dann im Browser gespeichert.
Slave kopiert sich selbst in den Autostart-Ordner und erstellt einen automatisch startenden sys.exe Registry-Eintrag. Um unerkannt zu bleiben, legt der Trojaner nach jedem Neustart einen als “Internet Explorer” getarnten Registry-Schlüssel mit einem zufälligen Namen an, der eine Kopie des Binary-Files der Malware startet und nach jedem Neustart anders heißt. Allerdings löscht der Schädling vorherige Einträge nicht, deshalb füllt sich die Registry schnell.
Slave zielt auf die drei gängigsten Webbrowser – Internet Explorer, Firefox und Chrome. Nach einer Infektion eines Browsers starten die anderen nicht mehr korrekt.
Umfangreiche, technische Details zur Funktionsweise von Slave gibt es im ausführlichen Report unter: https://devcentral.f5.com/d/f5-soc-slave-malware-analysis-report?download=true
ca. 2.000 Zeichen mit Leerzeichen
F5 Networks
Sibylle Greiser
Lehrer-Wirth-Straße 2
81829 München
Deutschland
E-Mail: s.greiser@f5.com
Homepage: http://f5.com/
Telefon: 0049 89-94383-0
Pressekontakt
Dr. Haffa & Partner GmbH
Axel Schreiber
Burgauerstr. 117
81929 München
Deutschland
E-Mail: postbox@haffapartner.de
Homepage: http://www.haffapartner.de
Telefon: 089 993191-0