Sicherheitsexperten von Trend Micro haben eine neue Angriffsmethode von Cyberkriminellen entdeckt, die eine beim Online-Banking gängige Form der Zwei-Faktor-Authentifizierung aushebelt. Hinter den von Trend Micro „Operation Emmental“ getauften Attacken stecken wahrscheinlich russische Muttersprachler. Bisher trafen sie ausschließlich Bankkunden aus Österreich und der Schweiz, doch auch bei vielen deutschen Banken könnten die Kriminellen damit Erfolg haben.
Operation Emmental zielt auf Kunden von Banken, deren Schutzmechanismen Sitzungs-Token vorsehen, die per SMS an die Kunden gesendet werden. Üblicherweise wird diese Methode als recht sicher erachtet: Da die Token über einen separaten Kanal (per SMS) übermittelt werden, müsste ein Angreifer nicht nur den Rechner, sondern auch das Mobiltelefon des Opfers kompromittieren oder in Händen halten.
Also mussten sich die russischen Hintermänner von Operation Emmental einen raffinierteren Weg ausdenken. Ihr Angriff beginnt daher mit einer E-Mail, die vermeintlich von einem bekannten Online-Versandhändler oder einem Konsumgüterunternehmen stammt, mit dem ebenfalls viele Verbraucher etwas anfangen können. Öffnet der Empfänger die Datei im E-Mail-Anhang, wird eine zweite Datei namens netupdater.exe heruntergeladen und ausgeführt, die den Rechner infiziert.
Das ist dann schon die halbe Miete, denn die Malware nimmt drei Änderungen vor: Zuerst ändert sie die DNS-Servereinstellungen und verweist dann auf einen Server, den die Angreifer kontrollieren. Sie können somit steuern, wie das infizierte System Namen von Internet-Domains auflöst. Dann installiert netupdater.exe ein neues SSL-Zertifikat einer Root-Certificate-Authority. So können die Angreifer Inhalte ihrer Phishing-Websites SSL-verschlüsselt anzeigen, ohne dass die Anwender unter Umständen durch eine Browser-Warnung stutzig werden. Drittens löscht sich die Malware im Anschluss selbst, ohne Spuren zu hinterlassen. Wird der Angriff also nicht bereits beim Infektionsversuch erkannt, ist eine spätere Suche nach Malware oder ein routinemäßiger Scan nicht mehr erfolgreich, da nur Konfigurationsänderungen zurückbleiben – und die sind durch die von privaten Nutzern verwendete Sicherheitssoftware in der Regel nicht als Gefahr zu erkennen.
„Bei ‚Operation Emmental‘ handelt es sich um einen komplexen Angriff mit mehreren Komponenten und einer umfangreichen Infrastruktur. Dass sich der markanteste Teil des Angriffs – die PC-Malware – selbst löscht, ohne Spuren zu hinterlassen, half den Angreifern vermutlich, sich relativ bedeckt zu halten“, so Martin Rösler, Leiter des Bedrohungsforscherteams bei Trend Micro, in einer Pressemitteilung.
Ruft ein Anwender mit einem infizierten Rechner anschließend eine Online-Banking-Site auf, wird er vom manipulierten DNS-Server auf einen Phishing-Server mit einer gefälschten Seite umgeleitet. Nachdem die Anwender Benutzername, Konto- und PIN-Nummer eingegeben haben, werden sie aufgefordert, eine App auf ihrem Smartphone zu installieren, ohne die in Zukunft kein Online-Banking mehr möglich sei.
Die Android-App ist angeblich ein Session-Token-Generator der Bank, dient aber tatsächlich dazu, SMS-Nachrichten der Bank abzufangen und sie an die Angreifer weiterzuleiten. Da die Kriminellen über die Phishing-Website sowohl die Anmeldeinformationen zum Online-Banking als auch die für das Online-Banking nötigen Session-Token erhalten haben, können sie nun über das Bankkonto im Namen dessen Inhabers Online-Transaktionen ausführen.
„Anders als bei mTAN-Verfahren, bei denen für jede Transaktion eine einzelne TAN-Nummer angefordert wird, können die Cyberkriminellen mithilfe des Sitzungs-Token unbemerkt mehrere Transaktionen während einer Sitzung ausführen. Sie können die Online-Banking-Sitzung selbst starten, während die Anwender davon erst beim aufmerksamen Durchlesen ihrer Kontoauszüge erfahren“, erläutert Rainer Link, einer der Autoren des Berichts zur Operation Emmental, die Gefahr.
Der Forschungsbericht von Trend Micro zeigt, dass zwar auch bei diesem Angriff wieder eine aktive Mithilfe der Opfer erforderlich ist (indem sie die E-Mail öffnen und später die Android App installieren müssen), die Methoden der Angreifer, Nutzer dazu zu bewegen, aber lange nicht mehr so ungeschickt und plump sind wie früher. Damit nimmt auch die Gefahr für Anwender zu, die sich aufgrund ihrer Kenntnisse bisher in Sicherheit wähnten. Auch sie sollten künftig noch aufmerksamer sein.
[mit Material von Peter Marwan, ITespresso.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…