F5 entdeckt neue Version des Banking-Trojaners VBKlip
F5 Networks (NASDAQ: FFIV) hat eine weitere Gefahr für Online-Banking-Kunden identifiziert:Kurzfassung: F5 Networks (NASDAQ: FFIV) hat eine weitere Gefahr für Online-Banking-Kunden identifiziert: Eine neue "Man-in-the-Browser”-Version der 2013 erstmals entdeckten VBKlip-Malware manipuliert IBAN-Daten, indem sie die über die Windows-Funktionalität "Copy & Paste” in den Zwischenspeicher geladenen Informationen abfängt und stattdessen die Malware-eigene IBAN einsetzt. Den Banking-Trojaner hat F5 über sein Security Operations Center (SOC) entdeckt.
[F5 Networks - 08.05.2015] München, 8. Mai 2015 - F5 Networks (NASDAQ: FFIV) hat eine weitere Gefahr für Online-Banking-Kunden identifiziert: Eine neue "Man-in-the-Browser”-Version der 2013 erstmals entdeckten VBKlip-Malware manipuliert IBAN-Daten, indem sie die über die Windows-Funktionalität "Copy & Paste” in den Zwischenspeicher geladenen Informationen abfängt und stattdessen die Malware-eigene IBAN einsetzt. Den Banking-Trojaner hat F5 über sein Security Operations Center (SOC) entdeckt.
Das Infektionsschema beginnt mit einem Downloader, der zwei Dateien herunterlädt: wmc.exe und windows.sys (DLL). Nachdem die infizierte Windows.sys-DLL-Datei in den Arbeitsspeicher geladen ist, wird versucht, eine Kommunikation mit verschiedenen Domänen aufzubauen. Das Besondere an der neuen Version des Trojaners ist, dass die Komponenten einzeln heruntergeladen werden und jede eine eigene Funktion im Hinblick auf die gesamte Ablaufsteuerung des Betrugs hat. Der Vorgang ist in verschiedene Module aufgeteilt, wobei der Download der jeweils nächsten Komponente über Command-and-Control-Server-Kommunikation erfolgt, sodass es immens schwierig ist, alle involvierten Komponenten zu ermitteln und die Attacke als Ganzes zu analysieren. Eine Erweiterung zur vorherigen Version ist die Möglichkeit zur Synchronisierung. Konnte zuvor lediglich ein laufender Browserprozess beeinflusst werden, ist es nun möglich, mithilfe eines Mutex-Formats die IBAN in allen laufenden Prozessen auszutauschen. Die Malware richtet sich auf die drei wichtigsten Browser: Internet Explorer, Firefox und Chrome.
"Zwar ist dieser Ansatz für betrügerische Transaktionen relativ simpel im Vergleich zu bekannten Pendants wie ‚Zeus‘, dennoch ist er sehr erfolgreich. Man kann sicher davon ausgehen, dass die Weiterentwicklung des Trojaners noch längst nicht am Ende angelangt ist”, erklärt Markus Härtner, Senior Director Sales DACH bei F5 Networks.
Weiterführende technische Details zur Funktionsweise des VBKlip-Trojaners gibt es unter: https://devcentral.f5.com/articles/vbklip-banking-trojan-goes-man-in-the-browser.
ca. 2.100 Zeichen mit Leerzeichen
Das Infektionsschema beginnt mit einem Downloader, der zwei Dateien herunterlädt: wmc.exe und windows.sys (DLL). Nachdem die infizierte Windows.sys-DLL-Datei in den Arbeitsspeicher geladen ist, wird versucht, eine Kommunikation mit verschiedenen Domänen aufzubauen. Das Besondere an der neuen Version des Trojaners ist, dass die Komponenten einzeln heruntergeladen werden und jede eine eigene Funktion im Hinblick auf die gesamte Ablaufsteuerung des Betrugs hat. Der Vorgang ist in verschiedene Module aufgeteilt, wobei der Download der jeweils nächsten Komponente über Command-and-Control-Server-Kommunikation erfolgt, sodass es immens schwierig ist, alle involvierten Komponenten zu ermitteln und die Attacke als Ganzes zu analysieren. Eine Erweiterung zur vorherigen Version ist die Möglichkeit zur Synchronisierung. Konnte zuvor lediglich ein laufender Browserprozess beeinflusst werden, ist es nun möglich, mithilfe eines Mutex-Formats die IBAN in allen laufenden Prozessen auszutauschen. Die Malware richtet sich auf die drei wichtigsten Browser: Internet Explorer, Firefox und Chrome.
"Zwar ist dieser Ansatz für betrügerische Transaktionen relativ simpel im Vergleich zu bekannten Pendants wie ‚Zeus‘, dennoch ist er sehr erfolgreich. Man kann sicher davon ausgehen, dass die Weiterentwicklung des Trojaners noch längst nicht am Ende angelangt ist”, erklärt Markus Härtner, Senior Director Sales DACH bei F5 Networks.
Weiterführende technische Details zur Funktionsweise des VBKlip-Trojaners gibt es unter: https://devcentral.f5.com/articles/vbklip-banking-trojan-goes-man-in-the-browser.
ca. 2.100 Zeichen mit Leerzeichen
Weitere Informationen
F5 Networks, Frau Sibylle Greiser
Lehrer-Wirth-Straße 2, 81829 München, Deutschland
Tel.: 0049 89-94383-0; http://f5.com/
Lehrer-Wirth-Straße 2, 81829 München, Deutschland
Tel.: 0049 89-94383-0; http://f5.com/
Weitere Meldungen dieses Unternehmens
Pressefach abonnieren
via RSS-Feed abonnieren
via E-Mail abonnieren
Pressekontakt
Frau Anja Klauck
Dr. Haffa & Partner GmbH
Burgauerstr. 117
81929 München
Deutschland
Drucken
Weiterempfehlen
PDF
Schlagworte
Permanentlinks
https://www.prmaximus.de/124815Dr. Haffa & Partner GmbH
Burgauerstr. 117
81929 München
Deutschland
https://www.prmaximus.de/pressefach/f5-networks-pressefach.html
Die Pressemeldung "F5 entdeckt neue Version des Banking-Trojaners VBKlip" unterliegt dem Urheberrecht.
Jegliche Verwendung dieses Textes, auch auszugsweise, erfordert die vorherige schriftliche Erlaubnis des Autors.
Autor der Pressemeldung "F5 entdeckt neue Version des Banking-Trojaners VBKlip" ist F5 Networks, vertreten durch Sibylle Greiser.