Banking Trojaner

Hochgezüchteter Banking-Trojaner Mekotio kehrt in Latein-Amerika zurück

, San Carlos, Check Point | Autor: Herbert Wieler

Hochgezüchteter Banking-Trojaner Mekotio kehrt in Latein-Amerika zurück

Im Juli hatte die spanische Polizei 16 verdächtige Personen wegen Geldwäsche im Zusammenhang mit der Malware gefasst. Nun attackiert sie spanischsprachige Länder. Urheber der neuen Version scheint eine brasilianische Verbrecherbande zu sein. Check Point blockierte bereits über 100 Attacken.

Die Security-Forscher von Check Point Research (CPR) berichten, dass die Attacke mit einer Spoofing-E-Mail unter falschem Markennamen beginnt, die unter dem Betreff läuft: „digital tax receipt pending submission“ – also: Digitale Zahlungsaufforderung benötigt Freigabe. Die Sicherheitsforscher vermuten eine Gruppe brasilianischer – eigentlich damit portugiesisch-sprachiger – Krimineller hinter der neuen Kampagne und glauben, diese vermiete die Malware außerdem an andere Gruppen – ein mittlerweile gängiges Modell auf dem Schwarzmarkt. Bislang sind vor allem die Bürger in Brasilien, Chile, Mexiko, Peru und erneut Spanien betroffen.

Abbildung: Angriffsweg des Banking-Trojaners Mekotio

Mekotio richtet sich gegen Windows-Rechner und bleibt nach dem Einbruch vorerst versteckt und weicht Viren-Scannern aus, bis sich der Nutzer des Rechners bei seinem elektronischen Bankkonto über das Internet anmeldet. In diesem Moment stiehlt die Malware dessen Zugangsinformationen. Die neue Version wurde in diesen Fähigkeiten gestärkt. Eingang findet die Malware über eine spanische Phishing-Nachricht, wie zuvor beschrieben, die einen Link zu einem verseuchten zip-Archiv enthält oder eines anhängen hat. Wird dieses heruntergeladen und entpackt, nimmt Mekotio heimlich seine Arbeit auf. Ein interessanter Trick, weswegen die Malware kaum von Sicherheitslösungen erkannt wird: Sie verwendet eine veraltete Verschlüsselung namens substitution cipher, um ihre Dateien zu verstecken, die moderne Viren-Scanner oft nicht mehr erkennen. Auf der anderen Seite nutzen die Entwickler eine neue, kommerziell vertriebene Software namens Themida, um die Nutzlast des Schadprogrammes sehr ausgefeit zu verschlüsseln, sowie Anti-Debug und Anti-Monitoring als Funktionen zu integrieren.

Die Sicherheitsforscher mahnen die Bürger der Länder zu besonderer Vorsicht wegen der E-Mails und raten zur Nutzung der Zwei-Faktor-Authentifizierung, wodurch der Diebstahl der Anmelde-Daten zum E-Bank-Konto alleine nutzlos gemacht wird.