Sa, 16. Dezember 2017

"Shifu"

04.09.2015 11:36

IBM warnt vor extrem gefährlichem Banking-Trojaner

IBM-Sicherheitsforscher warnen vor einem neuen, extrem gefährlichen Banking-Trojaner namens "Shifu" - japanisch für Dieb. Momentan habe es die Malware auf 14 japanische Banken sowie auf Banking-Plattformen in Europa abgesehen. "Zwölf Prozent der Angriffsziele liegen in Deutschland und Österreich", so das Unternehmen am Donnerstag in einer Mitteilung. Der Trojaner sei die erste von IBM entdeckte Malware, die befallene Systeme mittels einer Antivirus-Software nach anderen Schädlingen scanne und diese aus dem eigenen Revier verbanne. Von Passwörtern über EC-Karten bis hin zu Bezahlterminals sei wenig vor Shifu sicher – auch Software der Banken nicht.

"Eine Malware, die andere Malware daran hindert, auf den gekaperten Systemen zu wildern, ist uns noch nicht begegnet", sagt Gerd Rademann von IBM. "Der jetzt von unseren Sicherheitsexperten entdeckte Shifu-Trojaner bringt seinen eigenen Viren-Scanner mit, um sich die Beute nicht mit anderen Angreifern teilen zu müssen."

Japan und Europa im Visier
Schon seit April 2015 versuchen Cyberkriminelle, mit dem Shifu-Trojaner die Systeme von japanischen Banken sowie Banking-Plattformen in Europa zu durchdringen – zwölf Prozent der potenziellen Ziele liegen in Deutschland und Österreich. Aktiv attackiert wurden bisher japanische Geldinstitute.

Bei Kunden eingesetzte IBM-Lösungen zum Schutz vor Malware hatten Angriffe entdeckt, die neben Quellcode von bekannten Banking-Trojanern wie Shiz, Gozi, Zeus oder Didrex auch völlig neue Eigenschaften aufwiesen. Dazu gehört die Fähigkeit von Shifu, die von ihm befallenen Systeme mittels einer Art Anti-Virus-Software vor weiterem Befall zu schützen.

Vom Passwort bis zum Bezahlterminal
Shifu stiehlt auf den befallenen Systemen nach Möglichkeit Zugangsdaten, darunter über einen sogenannten Keylogger, der Tastatureingaben speichert, auch Passwörter sowie private Zertifikate und Authentifizierungstoken. Diese Daten nutzten die Cyberkriminellen dann, um sich als die rechtmäßigen Inhaber von Bankkonten auszugeben, so IBM.

Auch der Inhalt von Chipkarten, etwa EC-Karten, sei nicht vor ihnen sicher, sofern diese über einen Kartenleser an ein befallenes Gerät angeschlossen seien. Dazu zählten auch mit dem Netz verbundene Verkaufsterminals, die Shifu befalle, um die darüber laufenden Bezahlinformationen auszulesen.

Mehrere Fliegen mit einer Klappe
Während den IBM-Experten zufolge viele Trojaner Websites von Banken befielen, gebe es nur wenige, die es auf die zugrundeliegende Banking-Plattform abgesehen hätten. Zur letzteren Gruppe zähle auch der Shifu-Trojaner, der gezielt nach den Authentifizierungstoken suche, die für den externen Zugriff auf diese Plattformen benötigt würden.

Mit diesem Vorgehen würden Hacker gleich mehrere Fliegen mit einer Klappe schlagen, denn Banking-Apps würden meist von mehreren Banken genutzt. Sei eine Plattform gehackt, seien damit die Systeme auch anderer Geldinstitute verwundbar.

Falsche Fährten im Code?
Auf der Suche nach dem Ursprung des Shifu-Trojaners waren die Sicherheitsexperten in dessen Skripten auf Kommentare in russischer Sprache gestoßen. Andere Zeichenketten wiederum seien zwar nicht in kyrillischem Schriftcode geschrieben, hätten jedoch eine russische Bedeutung, darunter Begriffe wie "Buchhaltung" oder "Kasse".

Ob diese Indizien auf einen Ursprung der Hacker aus Russland oder einem anderen russischsprachigen Land schließen ließen, sei nicht geklärt. Möglich sei auch, dass die Cyberkriminellen versuchten, ihre Spuren zu verwischen.

Das könnte Sie auch interessieren
Kommentar schreiben

Liebe Leserin, lieber Leser,

die Kommentarfunktion steht Ihnen ab 6 Uhr wieder wie gewohnt zur Verfügung.

Mit freundlichen Grüßen
das krone.at-Team

Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Für den Newsletter anmelden