Online-Bankräuber haben "DanaBot" noch einmal aufmagaziniert.
Internet-Banking-Nutzer sollten derzeit besonders vorsichtig sein. Die Sicherheitsspezialisten von ESET haben einen neuen Entwicklungssprung bei einem der gefährlichsten Online-Banking-Trojaner de Welt aufgedeckt. Der als „DanaBot“ bezeichnete Schädling zählt neben „Emotet“ zu den aggressivsten Vertretern seiner Gattung. Die Opfer der seit vergangenem Jahr laufenden DanaBot-Kampagne befinden sich weltweit. Beginnend in Australien hat der Trojaner hauptsächlich Computernutzer in Österreich, Polen, Italien, Deutschland, Ukraine und den USA ins Visier genommen. Der Trojaner war bereits in seiner Ursprungsform für eine Vielzahl erfolgreicher Angriffe gegen Privatanwender und Unternehmen verantwortlich. Und nun ist er noch gefährlicher.
Neue Mehrfach-Verschlüsselung
Das jetzt entdeckte und verbreitete Update beinhaltet laut ESET u.a. eine neue Schadcode-Architektur. Die Kommunikation zwischen dem befallenen Opfer-PC und den dahinterliegenden Command & Control Servern erfolgt nun mehrfach verschlüsselt (AES und RSA). Eine Nachverfolgung der Datenströme und die Enttarnung der Täter werde laut den Experten dadurch immens erschwert. „Wir haben im letzten Jahr beobachtet, dass die Täter DanaBot innerhalb kürzester Zeit weltweit verbreiten konnten. Neben der Qualität und der permanenten Malware-Produktpflege zeigt das vor allem eins: Die Gruppierung, die hinter DanaBot steckt, muss über professionelle und leistungsfähige eCrime-Strukturen verfügen“, so Thomas Uhlemann, ESET Security Specialist.
>>>Nachlesen: Polizei warnt vor neuer Internet-Abo-Falle
So wird der Schädling verbreitet
Das neue Kommunikationsprotokoll wird derzeit in zwei Szenarien verteilt: Als Update rollen die Täter die modifizierte Verision automatisiert an bereits infizierte DanaBot Opfer. Eine zweite und leider immer noch äußerst erfolgreiche Verbreitungsvariante ist der Versand von Spam mit schädlichen Dateianhängen. Diese tarnen sich unter anderem als vermeintliche Rechnungen, Shopping-Angebote, Bankinformationen oder Bestellbestätigungen. Letzterer Verbreitungsweg wird aktuell verstärkt in Polen eingesetzt.
Neue Installationsweise
Eine weitere Änderung des Trojaners betrifft die Vorgehensweise. In der älteren Variante hat eine Downloader-Komponente erst das Hauptmodul aus dem Netz nachgeladen, welches dann wiederum die Plugins und Konfigurationen herunterlud. Die neue Version registriert einen sogenannten Loader als Betriebssystemdienst, welcher dann das Hauptmodul zusammen mit den Plugins und Konfigurationen nachlädt.
>>>Nachlesen: Phishing-Attacken: Österreich stark betroffen
Tipps für Nutzer
Glücklicherweise kann man sich vor Angriffen schützen. Dabei gelten auch in diesem schwerwiegenden Fall die allgemeinen Regeln: Nutzer sollten ihre Betriebssysteme stets auf dem neuesten Stand halten, aktuelle Antivirenprogramme verwenden und den Hausverstand einschalten. Letzteres gilt vor allem beim Öffnen von E-Mail-Anhängen. Besonders verdächtige Nachrichten sollte man im Posteingang bereits vor dem Öffnen löschen.
Fazit
„Wir haben im letzten Jahr beobachtet, dass die Täter DanaBot innerhalb kürzester Zeit weltweit verbreiten konnten. Neben der Qualität und der permanenten Malware-Produktpflege zeigt das vor allem eins: Die Gruppierung, die hinter DanaBot steckt, muss über professionelle und leistungsfähige eCrime-Strukturen verfügen“, so Uhlemann. Die neuesten Updates würden zudem darauf hinweisen, dass sich die DanaBot-Entwickler bemühen, eine Erkennung auf Netzwerkebene zu umgehen. Wahrscheinlich achten sie außerdem auf die neusten Erkenntnisse von Malware-Forschern, um ihnen immer einen Schritt voraus zu bleiben.
>>>Nachlesen: Achtung: Mega-Abzocke mit beliebten Navi-Apps
