Trend Micro: Neue Banking-Malware nutzt Netzwerk-Sniffer für Datendiebstahl

Trend Micro hat eine neue Banking-Malware entdeckt. Sie wird unter anderem über an deutsche Nutzer gerichtete Spam-Nachrichten verbreitet. Eine Besonderheit des als Emotet bezeichneten Schadprogramms ist ein integrierter Netzwerk-Sniffer, der alle Aktivitäten im Netzwerk überwacht, um persönliche Informationen zu stehlen.

Die Spam-Nachrichten beschäftigen sich Trend Micro zufolge mit angeblichen Überweisungen, die ein Nutzer getätigt haben soll, oder enthalten Rechnungen für Online-Einkäufe. Sie sollen Nutzer verleiten, auf eingebettete Links zu klicken, die wiederum zu einem Download der Emotet-Malware führen.

Die Banking-Malware EMOTET wird unter anderem über angebliche E-Mails der Volksbank verbreitet (Bild: Trend Micro).

Ist es der Schadsoftware gelungen, sich in einem System einzunisten, lädt sie weitere Komponenten nach. Darunter ist auch eine Konfigurationsdatei, die Informationen über bestimmte Banken enthält, auf die die Malware ausgerichtet ist. Analysen verschiedener EMOTET-Varianten hätten gezeigt, dass unter anderem Banken in Deutschland auf der Liste der zu überwachenden Websites stehen, schreibt Trend Micro in einem Blogeintrag.

EMOTET lädt auch eine DLL-Datei herunter, die in alle laufenden Prozesse eingefügt wird. Sie soll jeglichen ausgehenden Netzwerkverkehr abfangen und aufzeichnen. Habe sie Zugriff auf den Browser, vergleiche sie die aktuell angezeigte Website mit den Angaben in der zuvor geladenen Konfigurationsdatei. „EMOTET kann sogar Daten abhören, die über gesicherte Verbindungen gesendet werden“, da es sich an verschiedene Netzwerk-APIs ankoppeln könne, so Trend Micro weiter.

„Diese Art des Informationsdiebstahls in bemerkenswert, da andere Banking-Malware meist auf Eingaben in Formularen oder Phishing-Websites angewiesen ist, um Daten zu stehlen“, ergänzte Trend Micro. „Der Einsatz von Netzwerk-Sniffern erschwert zudem eine Entdeckung der schädlichen Aktivitäten durch Nutzer, da keine Manipulationen sichtbar sind (wie beispielsweise ein zusätzliches Eingabefeld auf einer Phishing-Seite). Darüber hinaus kann es sogar eine angeblich sichere Verbindung wie HTTPS umgehen, was eine Gefahr für persönliche Informationen und Anmeldedaten für Online-Banking darstellt.“

Des Weiteren nutzt EMOTET die Registrierungsdatenbank von Windows, um Dateien und gestohlene und anschließend verschlüsselte Nutzerdaten zu speichern. „Die Speicherung von Dateien und Daten in Registry-Einträgen kann als Methode angesehen werden, um einer Erkennung zu entgehen. Normale Nutzer prüfen ihre Registrierungsdatei nicht auf mögliche schädliche oder verdächtige Aktivitäten, im Gegensatz zu neuen und ungewöhnlichen Dateien. Das kann aus demselben Grund auch als Gegenmaßnahme zu einer signaturbasierten Erkennung durch eine Antivirensoftware dienen.“

Wie EMOTET die gesammelten Daten an seine Hintermänner sendet, hat Trend Micro nach eigenen Angaben aber noch nicht herausgefunden. Die meisten Infektionen habe man in Deutschland entdeckt. Andere europäische Länder sowie Nordamerika und der asiatisch-pazifische Raum seien aber auch betroffen.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

6 Stunden ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

22 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

1 Tag ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

1 Tag ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

1 Tag ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

1 Tag ago