Neuer Bank-Trojaner im Umlauf: F5 Networks analysiert "Slave"-Malware und veröffentlicht technische Details
Slave-Trojaner ähnelt berüchtigtem Trojaner-Baukasten ZeusKurzfassung: F5 Networks (NASDAQ: FFIV) hat eine neue Gefahrenquelle für Online-Banking-Nutzer entdeckt: Der sogenannte "Slave"-Trojaner wird von Cyberkriminellen für den Diebstahl von Credentials und der Identität, für IBAN-Manipulationen und automatische Überweisungen verwendet.
[F5 Networks - 08.07.2015] München, 07. Juli 2015 - F5 Networks (NASDAQ: FFIV) hat eine neue Gefahrenquelle für Online-Banking-Nutzer entdeckt: Der sogenannte "Slave"-Trojaner wird von Cyberkriminellen für den Diebstahl von Credentials und der Identität, für IBAN-Manipulationen und automatische Überweisungen verwendet. Erstmals tauchte der in Visual Basic geschriebene Schädling im März auf. Inzwischen ist aber eine neue, deutlich ausgereiftere Variante im Umlauf. Beide Varianten haben die Sicherheitsexperten von F5 im firmeneigenen Security Operations Center (SOC) gründlich analysiert.
Die ursprüngliche Version von Slave tauscht lediglich per "Man-in-the-Browser” in zwei Schritten die eingegebenen IBAN-Daten aus und ändert das Empfängerkonto bei einer Überweisung. Die neue Variante hingegen nutzt ausgefeilte Tarnmechanismen und Webinjektionen und ähnelt damit dem berüchtigten Trojaner-Baukasten "Zeus".
Slave kommuniziert mit einem Command & Control Server über einen im Browser erstellten Thread. Beim Browserstart verschickt die Malware einen HTTP-Request für die Webinjektion und erhält sie in Plain-Text als JSON-Objekt. Der Schadcode wird beim Online-Banking injiziert - und ist für jede Bank unterschiedlich. Die manipulierte Konfiguration bleibt dann im Browser gespeichert.
Slave kopiert sich selbst in den Autostart-Ordner und erstellt einen automatisch startenden sys.exe Registry-Eintrag. Um unerkannt zu bleiben, legt der Trojaner nach jedem Neustart einen als "Internet Explorer" getarnten Registry-Schlüssel mit einem zufälligen Namen an, der eine Kopie des Binary-Files der Malware startet und nach jedem Neustart anders heißt. Allerdings löscht der Schädling vorherige Einträge nicht, deshalb füllt sich die Registry schnell.
Slave zielt auf die drei gängigsten Webbrowser - Internet Explorer, Firefox und Chrome. Nach einer Infektion eines Browsers starten die anderen nicht mehr korrekt.
Umfangreiche, technische Details zur Funktionsweise von Slave gibt es im ausführlichen Report unter: https://devcentral.f5.com/d/f5-soc-slave-malware-analysis-report?download=true
ca. 2.000 Zeichen mit Leerzeichen
Die ursprüngliche Version von Slave tauscht lediglich per "Man-in-the-Browser” in zwei Schritten die eingegebenen IBAN-Daten aus und ändert das Empfängerkonto bei einer Überweisung. Die neue Variante hingegen nutzt ausgefeilte Tarnmechanismen und Webinjektionen und ähnelt damit dem berüchtigten Trojaner-Baukasten "Zeus".
Slave kommuniziert mit einem Command & Control Server über einen im Browser erstellten Thread. Beim Browserstart verschickt die Malware einen HTTP-Request für die Webinjektion und erhält sie in Plain-Text als JSON-Objekt. Der Schadcode wird beim Online-Banking injiziert - und ist für jede Bank unterschiedlich. Die manipulierte Konfiguration bleibt dann im Browser gespeichert.
Slave kopiert sich selbst in den Autostart-Ordner und erstellt einen automatisch startenden sys.exe Registry-Eintrag. Um unerkannt zu bleiben, legt der Trojaner nach jedem Neustart einen als "Internet Explorer" getarnten Registry-Schlüssel mit einem zufälligen Namen an, der eine Kopie des Binary-Files der Malware startet und nach jedem Neustart anders heißt. Allerdings löscht der Schädling vorherige Einträge nicht, deshalb füllt sich die Registry schnell.
Slave zielt auf die drei gängigsten Webbrowser - Internet Explorer, Firefox und Chrome. Nach einer Infektion eines Browsers starten die anderen nicht mehr korrekt.
Umfangreiche, technische Details zur Funktionsweise von Slave gibt es im ausführlichen Report unter: https://devcentral.f5.com/d/f5-soc-slave-malware-analysis-report?download=true
ca. 2.000 Zeichen mit Leerzeichen
Weitere Informationen
F5 Networks, Frau Sibylle Greiser
Lehrer-Wirth-Straße 2, 81829 München, Deutschland
Tel.: 0049 89-94383-0; http://f5.com/
Lehrer-Wirth-Straße 2, 81829 München, Deutschland
Tel.: 0049 89-94383-0; http://f5.com/
Weitere Meldungen dieses Unternehmens
Pressefach abonnieren
via RSS-Feed abonnieren
via E-Mail abonnieren
Pressekontakt
Herr Axel Schreiber
Dr. Haffa & Partner GmbH
Burgauerstr. 117
81929 München
Deutschland
Drucken
Weiterempfehlen
PDF
Schlagworte
Permanentlinks
https://www.prmaximus.de/126711Dr. Haffa & Partner GmbH
Burgauerstr. 117
81929 München
Deutschland
https://www.prmaximus.de/pressefach/f5-networks-pressefach.html
Die Pressemeldung "Neuer Bank-Trojaner im Umlauf: F5 Networks analysiert "Slave"-Malware und veröffentlicht technische Details" unterliegt dem Urheberrecht.
Jegliche Verwendung dieses Textes, auch auszugsweise, erfordert die vorherige schriftliche Erlaubnis des Autors.
Autor der Pressemeldung "Neuer Bank-Trojaner im Umlauf: F5 Networks analysiert "Slave"-Malware und veröffentlicht technische Details" ist F5 Networks, vertreten durch Sibylle Greiser.