Odinaff: Neuer Banking-Trojaner überwacht Netzwerke und stiehlt Anmeldedaten

Ein bisher unbekannter Banking-Trojaner, der Finanzinstitute weltweit ins Visier nimmt, wird derzeit von Cyberkriminellen benutzt, um Netzwerke auszuspionieren und Anmeldedaten zu stehlen. Die Odinaff genannte Malware ist einer Untersuchung von Symantec zufolge schon seit Januar im Umlauf. Sie ist außerdem in der Lage, die Aktivitäten von Mitarbeitern zu überwachen und aufzuzeichnen.

Die Hintermänner des Trojaners nutzen verschiedene Techniken, um in die Netzwerke potenzieller Opfer einzudringen. In den meisten Fällen versuchen sie, Mitarbeiter zum Öffnen speziell präparierter Dokumente zu verleiten, die gefährliche Makros enthalten. Warnmeldungen zu Darstellungsfehlern sollen Betroffene beispielsweise dazu bringen, die Ausführung von Makros zuzulassen – ab Werk sind Makros in Office-Anwendungen wie Word deaktiviert. Odinaff wird aber auch über passwortgeschützte RAR-Archive verbreitet.

Wie die schädlichen Dateien auf die Rechner ihrer Opfer gelangen ist indes nicht geklärt. Die Symantec-Forscher vermuten, dass dabei überwiegend Spear-Phishing-E-Mails zum Einsatz kommen.

Um seine vierfältigen Aufgaben erledigen zu können, verfügt Odinaff zudem über maßgefertigte Malware-Tools. Beispielsweise zeichnet der Trojaner in vorgegebenen Intervallen von 5 und 30 Sekunden Screenshots auf und verschickt sie an einen Befehlsserver. Hat Odinaff ein System kompromittiert, installiert er zudem eine weitere Schadsoftware namens Batel. Sie kann Schadcode ausschließlich im RAM ausführen, was es ihr erlaubt, unerkannt im Hintergrund zu agieren.

Die Steuerung von Odinaff sowie das Ausführen der einzelnen Komponenten benötigt der Analyse zufolge viele manuelle Eingriffe. Neue Malware-Tools werden beispielsweise nur heruntergeladen und installiert, wenn sie tatsächlich benötigt werden. Die Forscher vermuten deswegen, dass den Cyberkriminellen umfangreiche Ressourcen zur Verfügung stehen.

Die Hintermänner von Odinaff wiederum stehen möglicherweise in Verbindung mit den für den Banking-Trojaner Carbanak verantwortlichen Hackern. Dafür spricht, dass drei IP-Adressen der Odinaff-Befehlsserver auch im Zusammenhang mit Carbanak-Kampagnen erfasst wurden. Eine IP-Adresse wurde zudem beim Einbruch in die Systeme der Oracle-Tochter Micros registriert.

Rund ein Viertel der Odinaff-Opfer fanden die Symantec-Forscher in den USA. 20 Prozent der Ziele kommen aus Hongkong. Weitere 19 Prozent entfallen auf Australien. Auch Banken in Großbritannien, der Ukraine und Irland sind betroffen.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.