Microsoft warnt vor Banking-Trojanern

  • TIPP

  • mad.de
  • 840 Aufrufe 3 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Microsoft warnt vor Banking-Trojanern

    Eine neue Angriffsmethode von Banking-Trojanern beunruhigt Microsoft. IcedID, auch bekannt als BokBot, ist ein modularer Banking-Trojaner, der es auf die Finanzdaten der Anwender abgesehen hat und als Dropper für andere Malware fungieren kann.

    Microsoft warnt Unternehmen vor Cyber-Kriminellen, die Kontaktformulare auf Firmen-Websites nutzen, um den IcedID-Bank-Trojaner in E-Mails mit Google-URLs an Mitarbeiter zu versenden. Kontaktformulare auf Unternehmenswebsites sind ein offenes Tor im Internet, und Kriminelle nutzen sie seit kurzem, um Mitarbeiter zu erreichen, die Kontaktanfragen aus der Öffentlichkeit erhalten. Ein bemerkenswertes Merkmal des Angriffs ist, dass die Gauner die Kontaktformulare nutzen, um den Mitarbeitern legitime Google-URLs zu senden, die die Anwender auffordern, sich mit ihrem Google-Benutzernamen und -Passwort anzumelden.

    Microsoft hielt die Bedrohung für ernst genug, um die Angriffe an die Sicherheitsteams von Google zu melden und sie zu warnen, dass Cyber-Kriminelle legitime Google-URLs verwenden, um Malware auszuliefern. Die Google-URLs sind für die Angreifer nützlich, weil sie die E-Mail-Sicherheitsfilter umgehen. Die Angreifer scheinen auch CAPTCHA-Herausforderungen umgangen zu haben, mit denen geprüft wird, ob die Kontakteingabe von einem Menschen stammt.

    „Die Angreifer missbrauchen legitime Infrastrukturen, wie z. B. Kontaktformulare von Websites, um Schutzmaßnahmen zu umgehen, wodurch diese Bedrohung sehr ausweichend ist. Darüber hinaus verwenden die Angreifer legitime URLs, in diesem Fall Google-URLs, die die Zielpersonen auffordern, sich mit ihren Google-Anmeldedaten anzumelden“, so das Microsoft 365 Defender Threat Intelligence Team. Microsoft ist besorgt über die verwendete Technik und hat derzeit festgestellt, dass die Kriminellen die URLs in E-Mails verwenden, um die IcedID-Malware auszuliefern. Sie könnte aber genauso gut für die Übertragung anderer Malware verwendet werden.

    IcedID ist ein Banking-Trojaner und Informationsdieb und kann als Einstiegspunkt für nachfolgende Angriffe genutzt werden, wie z. B. manuell betriebene Ransomware für hochrangige Ziele. Von Menschen gesteuerte Ransomware-Angriffe werden immer häufiger und erfordern, dass der Angreifer an der Tastatur sitzt und den Angriff orchestriert, im Gegensatz zu einem automatisierten Angriff. „Wir haben bereits die Sicherheitsgruppen bei Google alarmiert, um auf diese Bedrohung aufmerksam zu machen, da sie Google-URLs ausnutzt“, so Microsoft.

    „Wir haben einen Zustrom von Kontaktformular-E-Mails beobachtet, die auf Unternehmen abzielen, indem sie die Kontaktformulare von Unternehmen missbrauchen. Dies deutet darauf hin, dass die Angreifer möglicherweise ein Tool verwendet haben, das diesen Prozess automatisiert und dabei den CAPTCHA-Schutz umgeht“, so das Unternehmen weiter. Für Unternehmen und Behörden ist es schwierig, diesen Angriff zu erkennen, da die E-Mails von ihren eigenen Kontaktformularen und E-Mail-Marketing-Systemen an die Mitarbeiter gesendet werden.

    „Da die E-Mails aus dem eigenen Kontaktformular auf der Website des Empfängers stammen, entsprechen die E-Mail-Vorlagen dem, was man bei einer tatsächlichen Kundeninteraktion oder -anfrage erwarten würde“, so Microsoft. Die Angreifer verwenden eine Sprache, die den Mitarbeiter unter Druck setzt, zu antworten – zum Beispiel mit der falschen Behauptung, dass die angegriffene Website urheberrechtlich geschützte Bilder verwendet. Die E-Mail enthält einen Link zu einer sites.google.com-Seite, auf der sich der Mitarbeiter die angeblich rechtsverletzenden Bilder ansehen soll.

    Wenn der Mitarbeiter seine Arbeit macht und die Behauptung untersucht, indem er sich auf der Seite anmeldet, wird von der sites.google.com-Seite automatisch eine ZIP-Datei mit einer JavaScript-Datei heruntergeladen, die wiederum IcedID-Malware als .DAT-Datei herunterlädt. Außerdem wird eine Komponente des Penetrationstest-Kits Cobalt Strike heruntergeladen, die es dem Angreifer ermöglicht, das Gerät über das Internet zu kontrollieren.

    Quelle: Microsoft warnt vor Banking-Trojanern | ZDNet.de
  • Bevor ich E-Banking mache, lade ich den Msert von Microsoft herunter und lasse diesen laufen, dann lasse ich den adwcleaner laufen und stelle auf die Winsock Standartwerte zurück, dann den CCleaner, danach den Mallwarebytes, dann den KVRT und den TDSSKiller von Kaspersky. Der Tdsskiller startet das System neu und checkt alles ab. Danach noch einen Lauf des normalen AnitVirus und beim Browser lösche ich den Verlauf und setze diesen auf die Standartwerte zurück und dann öffne ich das Inkognito Fenster. Die URL für das E-Banking erfasse ich von Hand. Dann schaue ich immer vor dem Verlassen des E-Banking welche Aufträge offen sind, klicke auf Logout und stelle den PC ab. Ich denke mit diesen Massnahmen bin ich nicht zu 100 %, aber sicher unterwegs.
  • GoSoft schrieb:

    Bevor ich E-Banking mache.....
    Da musst du dir aber heute schon überlegen ob du morgen oder übermorgen Banking machen willst. Bei dem was du alles veranstaltest würde der Gang zur Bank wahrscheinlich schneller gehen....

    Ich persönlich denke das Banking im Browser zu "gefährlich" ist.
    Ich nutze grundsätzlich eine Banking Software. In meinem Fall "Alf Banco" mit einer erweiterten Lizens. Damit habe ich alle Konten die ich habe im genauen Blick....
    AlfBanco hat hier den 1. Platz belegt: Online-Banking Software im Test
  • @GoSoft

    Mal unabhängig davon, dass dieser Trojaner es wohl auf Banken und Unternehmen (Manipulation von Kontaktformular-Mails) abgesehen hat und dein Beitrag hier eher deplaziert ist ... :whistling:

    Aaaaalter ... und wenn du damit fertig bist, ist der Tag auch schon vorbei ... und der ganze lange Klamauk nur, weil du mal eben die Kontobewegung checken willst :denk:
    Soviel Zeit möcht' ich im Urlaub mal übrig haben :D

    Zum Einen sollte man nicht 10000 Si-Tools parallel laufen haben (die behakeln sich nicht selten und für die Performance dürfte sich das auch nicht positiv auswirken)
    Zum Anderen: Mit einer gehörigen Portion brain.exe beim Umgang mit E-Mails und beim Surfen ist es auch nicht zwingend nötig.

    Dann doch eher eine gesicherte Umgebung, die von einigen Antivirus-Systemen angeboten wird, eine virtuelle Tastatur (ebenfalls bei vielen AV-Sys. dabei, extra für Banking) oder alternativ die Lösung, die ruderbernd genannt hat.
    Da, wo die Neurosen blüh'n, da möcht' ich Landschaftsgärtner sein!
    Rechteübersicht * Forenregeln * F.A.Q. * Lexikon
    Suchfunktion * Chat * User helfen User
    Der Minister nimmt flüsternd den Bischof beim Arm: »Halt' du sie dumm, ich halt' sie arm!« (R. Mey)