"Shifu"

IBM warnt vor extrem gefährlichem Banking-Trojaner

(Bild: thinkstockphotos.de)

IBM-Sicherheitsforscher warnen vor einem neuen, extrem gefährlichen Banking-Trojaner namens "Shifu" - japanisch für Dieb. Momentan habe es die Malware auf 14 japanische Banken sowie auf Banking-Plattformen in Europa abgesehen. "Zwölf Prozent der Angriffsziele liegen in Deutschland und Österreich", so das Unternehmen am Donnerstag in einer Mitteilung. Der Trojaner sei die erste von IBM entdeckte Malware, die befallene Systeme mittels einer Antivirus-Software nach anderen Schädlingen scanne und diese aus dem eigenen Revier verbanne. Von Passwörtern über EC-Karten bis hin zu Bezahlterminals sei wenig vor Shifu sicher – auch Software der Banken nicht.

"Eine Malware, die andere Malware daran hindert, auf den gekaperten Systemen zu wildern, ist uns noch nicht begegnet", sagt Gerd Rademann von IBM. "Der jetzt von unseren Sicherheitsexperten entdeckte Shifu-Trojaner bringt seinen eigenen Viren-Scanner mit, um sich die Beute nicht mit anderen Angreifern teilen zu müssen."

Japan und Europa im Visier
Schon seit April 2015 versuchen Cyberkriminelle, mit dem Shifu-Trojaner die Systeme von japanischen Banken sowie Banking-Plattformen in Europa zu durchdringen – zwölf Prozent der potenziellen Ziele liegen in Deutschland und Österreich. Aktiv attackiert wurden bisher japanische Geldinstitute.

Bei Kunden eingesetzte IBM-Lösungen zum Schutz vor Malware hatten Angriffe entdeckt, die neben Quellcode von bekannten Banking-Trojanern wie Shiz, Gozi, Zeus oder Didrex auch völlig neue Eigenschaften aufwiesen. Dazu gehört die Fähigkeit von Shifu, die von ihm befallenen Systeme mittels einer Art Anti-Virus-Software vor weiterem Befall zu schützen.

Vom Passwort bis zum Bezahlterminal
Shifu stiehlt auf den befallenen Systemen nach Möglichkeit Zugangsdaten, darunter über einen sogenannten Keylogger, der Tastatureingaben speichert, auch Passwörter sowie private Zertifikate und Authentifizierungstoken. Diese Daten nutzten die Cyberkriminellen dann, um sich als die rechtmäßigen Inhaber von Bankkonten auszugeben, so IBM.

Auch der Inhalt von Chipkarten, etwa EC-Karten, sei nicht vor ihnen sicher, sofern diese über einen Kartenleser an ein befallenes Gerät angeschlossen seien. Dazu zählten auch mit dem Netz verbundene Verkaufsterminals, die Shifu befalle, um die darüber laufenden Bezahlinformationen auszulesen.

Mehrere Fliegen mit einer Klappe
Während den IBM-Experten zufolge viele Trojaner Websites von Banken befielen, gebe es nur wenige, die es auf die zugrundeliegende Banking-Plattform abgesehen hätten. Zur letzteren Gruppe zähle auch der Shifu-Trojaner, der gezielt nach den Authentifizierungstoken suche, die für den externen Zugriff auf diese Plattformen benötigt würden.

Mit diesem Vorgehen würden Hacker gleich mehrere Fliegen mit einer Klappe schlagen, denn Banking-Apps würden meist von mehreren Banken genutzt. Sei eine Plattform gehackt, seien damit die Systeme auch anderer Geldinstitute verwundbar.

Falsche Fährten im Code?
Auf der Suche nach dem Ursprung des Shifu-Trojaners waren die Sicherheitsexperten in dessen Skripten auf Kommentare in russischer Sprache gestoßen. Andere Zeichenketten wiederum seien zwar nicht in kyrillischem Schriftcode geschrieben, hätten jedoch eine russische Bedeutung, darunter Begriffe wie "Buchhaltung" oder "Kasse".

Ob diese Indizien auf einen Ursprung der Hacker aus Russland oder einem anderen russischsprachigen Land schließen ließen, sei nicht geklärt. Möglich sei auch, dass die Cyberkriminellen versuchten, ihre Spuren zu verwischen.