ESET-Sicherheitswarnung: Banking-Schadcode räumt Bankkonten leer

Der Security-Hersteller ESET warnt vor der Banking-Malware "BackSwap". Sie nutzt eine einfache und perfide Methode, um Banking-Daten zu erschleichen und positioniert sich dazu direkt im Browser der Opfer. Gleichzeitig hebelt die Malware die Abwehrmaßnahmen im Browser gezielt aus. [...]

„BackSwap“ verwendet eine besonders einfallsreiche Technik, um an die vertraulichen Banking-Informationen der Opfer zu gelangen: Statt aufwändige Code-Infizierungsmethoden zur Browserüberwachung einzusetzen, hängt sich die Malware direkt in die angezeigten Nachrichtenfenster des Browsers. Dort simuliert der Trojaner Nutzereingaben, um Banking Aktivitäten aufzuspüren. Sobald er solche Aktivitäten erkennt, wird schädlicher JavaScript–Code injiziert, entweder über die JavaScript-Konsole oder direkt in die Adresszeile des Browsers. All das geschieht unbemerkt vom Nutzer.

Nahezu jeder Browser betroffen

„Diese scheinbar einfache Angriffsmethode ist tatsächlich in der Lage, sämtliche derzeitigen Browserschutzmaßnahmen auszuhebeln“ sagt ESET-Security–Experte Thomas Uhlemann. Für die Attacke lassen sich Google Chrome, Mozilla Firefox und seit kurzem auch Internet Explorer missbrauchen. „Im Prinzip ist auch jeder andere Browser anfällig, der die JavaScript-Konsole aktiviert hat oder das Ausführen von JavaScript aus der Adresszeile erlaubt. Beides sind Standardfeatures moderner Browser“ so Uhlemann.

Den von den Cyberkriminellen für den Angriff eingesetzten JS/TrojanDownloader.Nemucod haben die ESET-Experten im Jänner 2018 noch vorrangig beim Einsatz von Clipboard-Malware beobachtet, die Kryptowährungs–Wallet-Adressen in der Zwischenablage des Systems austauschte. Die erste Version der Banking-Malware Win32/BackSwap.A wurde im März entdeckt. Verteilt wird BackSwap vor allem über Spam-Mails, die Nemucod als verschleiertes Script beinhalten. ESET hat die betroffenen Browserhersteller über die neue Angriffstechnik informiert.

Mit dem richtigen Wallet können Sie Ihre Kryptowährung effektiv schützen. Lesen Sie hier, welche Schutzmaßnahmen für Sie interessant sein könnten.

Gegenwärtig schlägt die Banking-Malware vor allem in Polen zu, der verschleierte JavaScript-Downloader Nemucod adressiert derzeit noch hauptsächlich polnische Nutzer. Die ESET-Experten verzeichnen jedoch auch eine zunehmende Angriffstätigkeit in der DACH-Region sowie in Großbritannien und Dänemark.

Selbstverständlich vergisst Uhlemann nicht darauf hinzuweisen, dass die Security-Lösungen von ESET die neue Bedrohung in allen ihren Varianten erkennen, so dass die Anwender bereits geschützt sind.

Weitere Informationen finden Interessierte auf dem ESET-Blog WeLiveSecurity unter www.welivesecurity.com/2018/05/25/backswap-malware-empty-bank-accounts/ sowie http://virusradar.com/en/JS_TrojanDownloader.Nemucod/map.