13.11.2018
Malware mit Lernfaktor
Banking-Trojaner Trickbot ist noch gefährlicher geworden
Autor: Alexandra Lindner
Mirror-Images / shutterstock.com
Die seit einigen Jahren aktive Malware Trickbot hat neue Fähigkeiten dazubekommen. Ursprünglich handelte es sich bei dem Schadcode um einen reinen Banking Trojaner. Inzwischen kann Trickbot aber auch Passwörter und mehr abgreifen.
Der seit einigen Jahren wütende Banking-Trojaner Trickbot hat offenbar dazugelernt. Wie die Sicherheitsforscher von Fortinet und Trend Micro berichten, hat es die Schadsoftware nun nicht mehr nur auf Bankdaten, sondern auch auf Passwörter, Cookies, Browser-Historien und sogar Autofill-Informationen abgesehen.
Trickbot wird zumeist getarnt als Excel-Datei per E-Mail verteilt. Will der Nutzer das Dokument öffnen, gibt dieses vor, mit einer älteren Software-Version erstellt worden zu sein. Um diese mit der eigenen verwendeten Version kompatibel zu machen, werden entsprechende Berechtigungen gefordert.
Kommt der User dieser Aufforderung nach, nimmt das Unheil seinen Lauf. Im Hintergrund wird der Trojaner auf das System geladen. Nach verschiedenen Zwischenschritten mit harmlos anmutenden Dateinamen kopiert sich der Schadcode selbst in den "Task Scheduler" des Systems, wie Fortinet beschreibt.
Nach kurzer Zeit schon sendet das Programm eine Anfrage an den Server der Angreifer, um ein weiteres Modul auf dem System des Opfers zu installieren. Dieses heißt je nach System pwgrab32 oder pwgrab64. Die Kriminellen können damit nicht nur Passwörter und Anmeldedaten abgreifen, sondern auch noch weitere Daten extrahieren.
Davon betroffen sind laut Trend Micro vor allem die Tools Microsoft Outlook, Filezilla, WinSCP, Google Chrome, Mozilla Firefox, Internet Explorer und Microsoft Edge. Das Fatale an Trickbot ist zudem, dass er sich durch die Verbindung mit dem Comand-and-Controll-Server der Angreifer fortwährend aktualisiert, schreibt Trend Micro weiter. Dazu lädt die Malware kontinuierlich neue Module nach.
Passwörter in Passwortmanagern gelten als sicher
Positiv sei einzig die Tatsache, dass Trickbot auf die Passwörter, die in Passwortmanagern von Drittanbieter gespeichert sind, nicht zugreifen kann. Ob auch Kennwörter sicher sind, die sich in Browser-Plugins von Passwortmanagern befinden, wird derzeit noch überprüft, so Trend Micro.
Der Trojaner verwendet verschiedene Methoden, um von Virenscannern unentdeckt zu bleiben. Den Nutzern bleibt nur, E-Mails und deren Anhänge von unbekannten Absendern nicht zu öffnen. Dasselbe gilt für unerwartete Anhänge in den Mails vermeintlich bekannter Kontakte.
Verlangt eine angehängte Datei beim Öffnen Berechtigungen, um Makros auszuführen, sollte der Nutzer hellhörig werden und die Datei samt zugehöriger Nachricht umgehend löschen.
Bad News
Game macht Fake News spielerisch erkennbar
Wissenschaftler der Universität Uppsala haben ihr Online-Spiel "Bad News" erfolgreich an 516 Schülern getestet. Es soll helfen, manipulative Techniken in Social-Media-Posts zu erkennen.
>>
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
Glasfasernetz
GlobalConnect stellt B2C-Geschäft in Deutschland ein
Der Glasfaseranbieter GlobalConnect will sich in Deutschland künftig auf das B2B- und das Carrier-Geschäft konzentrieren und stoppt die Gewinnung von Privatkunden mit Internet- und Telefonanschlüssen.
>>