Flickenteppich oder großer Wurf?

Banking-Malware-Familien verbreiten sich weltweit
14.07.2020

Die Opfer reichen von Nordamerika über Lateinamerika bis hin nach Europa und dort auch Deutschland: Brasilianische Cyberkriminelle verbreiten derzeit ihre Schadprogramme verstärkt außerhalb des eigenen Landes, so eine aktuelle Analyse des Softwareunternehmens Kaspersky. Die vier komplexen Banking-Malware-Familien Guildma, Javali, Melcoz und Grandoreiro – auch bekannt als Tetrade – setzten eine Vielzahl neuer Techniken ein, um einer Entdeckung durch Virenprogramme zu entgehen, teilte das Unternehmen an Dienstag in München mit. Sie ließen unter anderem die Kommunikation mit dem Kontrollserver über ein verschlüsseltes Format auf legitimen Webseiten von Drittanbietern wie Facebook- und YouTube-Seiten laufen, hieß es.

Brasilien sei seit langem ein Hotspot für Banking-Trojaner. In der Vergangenheit hätten sich brasilianische Cyberkriminelle insbesondere gegen Kunden lokaler Finanzinstitute gerichtet, hieß es. Dies habe sich Anfang des Jahres 2011 geändert, als einige Gruppen damit angefangen hätten, ihre Trojaner auch im Ausland zu verbreiten – jedoch noch mit begrenztem Erfolg. Vier Familien, bekannt als Tetrade, hätten es nun im Jahr 2020 geschafft, Opfer weltweit ins Visier zu nehmen.

Die Malware-Familie Guildma sei seit dem Jahr 2015 aktiv und werde überwiegend über Phishing-Mails verbreitet, die als Geschäftskommunikation oder Benachrichtigungen getarnt seien. Seit der Entdeckung habe Guildma mehrere neue Ausweichtechniken erworben, um einer erneuten Entdeckung zu entgehen. Seit dem Jahr 2019 verberge die Software zudem die eigene böswillige Nutzlast im System des Opfers mithilfe eines speziellen Dateiformats. Zudem speichere der Schädling die Kommunikation mit dem Kontrollserver in einem verschlüsselten Format auf Facebook- und YouTube-Seiten. Infolgedessen sei der Kommunikationsverkehr nur schwer als schädlich zu erkennen, da Virenschutzprogramme diese Webseiten nicht blockieren könnten. Im Jahr 2015 sei Guildma ausschließlich in Brasilien aktiv gewesen, mittlerweile habe sich das Schadprogramm in ganz Südamerika, den USA, Deutschland sowie in Portugal und Spanien ausgebreitet, so die Warnung.

Bankkunden werden zu Opfern

Ein weiterer lokaler Banking-Trojaner namens Javali sei seit 2017 aktiv und richte sich gegen Bankkunden in Mexiko (ein paar wenige Opfer seien auch in Deutschland ausgemacht worden). Wie Guildma werde er über Phishing-Mails verbreitet und nutze YouTube, um seine C2-Kommunikation zu hosten. Die dritte Familie, Melcoz, sei seit 2018 aktiv und habe sich seitdem in Ländern wie Mexiko und Spanien ausgeweitet. Einige Infektionen seien auch in Deutschland erkannt worden.

Grandoreiro hatte demnach zunächst Nutzer in Lateinamerika im Visier, bevor der Schädling in die USA und europäische Länder expandiert sei. Von den vier Tetrade-Familien sei er am weitesten verbreitet, seit dem Jahr 2016 aktiv und folge einem Malware-as-a-Service-Geschäftsmodell: Verschiedene Cyberkriminelle könnten Zugriff auf die erforderlichen Tools erwerben, um einen Angriff zu starten. Diese Familie werde über kompromittierte Webseiten sowie über Spear-Phishing verbreitet. Wie Guildma und Javali verberge die Schadsoftware ihre C2-Kommunikation auf legitimen Webseiten von Drittanbietern, hieß es.

Bildquelle: Photo by Michael Dziedzic on Unsplash


[zurück]
Weitere interessante News