Fies: Banking-Malware GozNym klaut Millionen

(Bild: Tashatuvango / Shutterstock.com)

In wenigen Tagen sollen Hacker von amerikanischen und kanadischen Banken Millionen US-Dollar gestohlen haben. Möglich machte das eine hybride Malware.

Hacker sollen durch das Verbinden von zwei Malware-Elementen bei 24 amerikanischen und kanadischen Banken eine Millionenbeute gemacht haben, berichtet IBM X-Force. Die Software geht geschickt vor. Ihr Ursprung wird in Osteuropa vermutet.

Zusammengefügt wurde Code von Nymaim und Gozi ISFB, um einen als GozNym bezeichneten Trojaner zu schaffen, der sich besonders für Online-Banking-Betrug eignet. Nymaim ist bereits ein Malware-Dropper, der in zwei Phasen vorgeht. Er infiltriert Rechner gewöhnlich durch Exploit-Kits wie Blackhole und nutzt danach eine zweite ausführbare Datei.

Schon für sich genommen ist Nymaim ein Trojaner, der sich durch Verschlüsselung und weitere ausgeklügelte Techniken effektiv gegen Entdeckung schützt. Mit Banking-Malware wird er erst seit November 2015 in Verbindung gebracht. Zuvor wurde er fast ausschließlich eingesetzt, um Ransomware auf Computer zu befördern.

Die Malware Gozi ISFB wiederum injiziert Skripte in Browser, um Anmeldedaten abzufangen, wenn Opfer eine Banking-Site besuchen. Laut X-Force ist dieser Trojaner besonders effektiv darin, Antivirus-Software zu vermeiden und Bank-Anmeldedaten abzugreifen, um die Konten ausplündern zu können. Da Quellcode dieser Schadsoftware durchsickerte, konnten sich die Hintermänner von Nymaim daran bedienen.

Malware kommt ins Museum

Mit Gozi ISFB wurde Nymaim nun um einen weiteren Schritt in der Infektionskette ergänzt. Ende 2015 fiel den IBM-Forschern auf, dass Nymaim ein Gozi-ISFB-Modul nachzuladen begann, eine Webinjection Dynamic Link Library (DLL), um sie für Online-Banking-Angriffe zu nutzen. Anfang April 2016 wurde dann GozNym als fusionierte Variante erkannt, bei der Nymaim mit Code aus Gozi ISFB zu einer Malware rekompiliert wurde. Neuere Versionen enthalten darüber hinaus veränderten Gozi-ISFB-Code.

„Die Verschmelzung von Nymaim und Teilen von Gozi ISFB hat einen neuen Trojaner in der Wildbahn hervorgebracht“, schreibt in einem Blogeintrag Limor Kessem, Executive Security Advisor von IBM. „Die Malware ist so gut getarnt und hartnäckig wie der Nymaim-Loader, während er zugleich die Fähigkeit besitzt, Websitzungen zu manipulieren, was hochentwickelte Online-Banking-Angriffe ermöglicht.“

Tags :Quellen:ZDNet.comVia:Mit Material von Bernd Kling, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising