IBM-Sicherheitsforscher warnen vor Banking-Trojaner „Tinba“

IBM Security weist auf eine seit Mai laufende Angriffwelle von Cyberkriminellen auf Bankkunden in Europa hin. Mithilfe des Trojaners „Tinba“ versuchen sie, Onlinebanking-Nutzern über manipulierte Webseiten ihre Zugangsdaten zu entlocken und anschließend ihre Konten zu plündern. Betroffen sind Anwender in Deutschland, Italien, den Niederlanden und Polen.

Fast die Hälfte der im Mai beobachteten Angriffe entfielen auf Polen (45 Prozent) und ein Fünftel auf Italien (21 Prozent). In den Niederlanden lag der Anteil der identifizierten Fälle bei 10 Prozent und in Deutschland bei 5 Prozent.

Nahezu die Hälfte aller von IBM registrierten Tinba-Infektionen ereignete sich in Polen (Bild: IBM).

Hat er erstmal ein System infiziert, leitet Tinba nichtsahnende Anwender beim Anmelden an ihr Online-Bankkonto auf eine fingierte Webseite um. Diese fragt im Namen der Bank nach Zugangsdaten oder zeigt eine gefälschte Nachricht an, laut der scheinbar versehentlich überwiesenes Geld, schnellstmöglich zurücküberwiesen werden müsse – natürlich auf das Konto der Cyberkriminellen.

„Unsere Sicherheitsforscher haben dieses kriminelle Vorgehen im Mai 2015 entdeckt und festgestellt, dass es sich bei Tinba um einen alten Bekannten handelt“, sagt Gerd Rademann, Business Unit Executive bei IBM Security Systems DACH. „Tinba ist eine Variante des bereits 2012 entdeckten Tiny Banker. Der damals gemäß Dateigröße kleinste Trojaner der Welt war vor allem für Angriffe auf Banken in den USA konzipiert, nun feiert er ein unliebsames Comeback in Europa.“

Wie IBM-Sicherheitsexperte Ori Bach in einem Blogbeitrag ausführt, ist die jüngste Tinba-Kampagne nur eine von vielen ähnlichen Malware-Bedrohungen, die aus den USA nach Europa überschwappte. Cyberkriminellen gelinge es immer öfter, die Sprachbarriere zu überwinden und ihre Methoden zum Angriff auf lokale Banken einzusetzen. Auch wenn dies eine Herausforderung für Banken darstelle, die ihre Systeme noch nicht ausreichend abgesichert hätten, könnten andere davon profitieren, dass sie die fragliche Malware bereits woanders bekämpft haben.

Allerdings entwickeln Cyberkriminelle auch immer ausgefeiltere Methoden, um ihre Angriffe zu verschleiern oder die genutzten Botnetze vor der Abschaltung zu bewahren. So setzen die Autoren der aktuellen Tinba-Variante verschiedene Schutzmechanismen ein, um sicherzustellen, dass ihr Botnetz intakt bleibt. Dazu zählt, dass Bot-Befehle und Updates nur von einem mit einem öffentlichten Schlüssel autentifizierten Botmaster durchgeführt werden können. Bevor sie eine neue Konfiguration akzeptieren, autentifizieren die Bots den Update-Server. Zudem gibt für jeden Bot eine rechnerabhängige Verschlüsselungsschicht, um zu verhindern, dass Sicherheitsforscher ihn manipulieren. Die Bots kommunizieren mit hartkodierten Ressourcen-URLs und weichen falls nötig auf von Domain-Generation-Algorithmen erstellte URLs aus.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

20 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

22 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

22 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago