Der Banking-Trojaner QakBot/Pinkslipbot kann auch dann noch Kopfschmerzen verursachen, wenn er von Ihrem System entfernt wurde.
Der Banking-Trojaner quält seine Opfer seit rund einem Jahrzehnt.
Eine Form der Banking-Trojaner-Malware hat eine neue Angriffstechnik entwickelt und nutzt infizierte Computer als Kontrollserver – selbst nachdem ihre Fähigkeit, Daten zu stehlen, durch Sicherheitsprodukte entfernt wurde.
Qakbot ist ein Wurm, der sich in den Netzwerken verbreiten kann und in der Lage ist, Zugangsdaten zu stehlen und eine Hintertür zu öffnen infizierten Computer und das Herunterladen zusätzlicher Malware – und das alles unter Verwendung einer Rootkit-Funktionalität, um heimlich zu bleiben versteckt.
Der Trojaner wurde erstmals Ende der 2000er Jahre entdeckt, aber mehr als ein Jahrzehnt später Es verursacht immer noch regelmäßig neue Probleme Und jetzt hat es einen neuen Weg gefunden, böswillige Aktivitäten auszuführen, selbst wenn die Malware aus einem infizierten Netzwerk entfernt wird.
Forscher bei McAfee Labs entdeckte eine neue Form des Banking-Trojaners – auch bekannt als Pinkslipbot – der infizierte Maschinen als HTTPS-basierte Proxys für die eigentlichen Kontrollserver nutzt.
Pinkslipbot sammelt Bankdaten mithilfe von Passwort-Stealern, Keyloggern, Man-in-Browser-Angriffen und mehr, um Informationen, hauptsächlich von US-Finanzinstituten, zu stehlen. Insgesamt kontrolliert die Malware ein Botnetz von über 500.000 Maschinen und Forschern zufolge stiehlt sie täglich eine halbe Million Datensätze.
Jetzt haben Forscher herausgefunden, dass mehrere IP-Adressen, die mit der Malware in Verbindung stehen, nur aus IP-Adressen bestehen infizierte Maschinen, die als HTTPS-basierte Proxys für die eigentlichen Kontrollserver fungieren, um diese zu verbergen. Dies geschieht durch die Verwendung von Universal Plug and Play (UPnP), um Ports zu öffnen und eingehende Verbindungen von jedem im Internet zu ermöglichen.
„Da UPnP davon ausgeht, dass lokale Anwendungen und Geräte vertrauenswürdig sind, bietet es keinen Sicherheitsschutz und ist anfällig für Missbrauch durch jeden infizierten Computer im Netzwerk.“ „Wir haben mehrere Pinkslipbot-Kontrollserver-Proxys beobachtet, die auf separaten Computern im selben Heimnetzwerk gehostet wurden, sowie scheinbar einen öffentlichen WLAN-Hotspot“, sagten die Forscher.
„Soweit wir wissen, ist Pinkslipbot die erste Malware, die infizierte Maschinen als HTTPS-basierte Kontrollserver verwendet, und die zweite ausführbare Malware, die UPnP für die Portweiterleitung verwendet berüchtigter Conficker-Wurm im Jahr 2008“, sagte der Anti-Malware-Forscher Sanchit Karve.
Das Layout eines typischen Pinkslipbot-Steuerungsservers
Die Forscher sind immer noch dabei, das genaue Verfahren festzulegen, mit dem ermittelt werden soll, ob ein infizierter Computer als Proxy eingesetzt werden kann. Es wird jedoch angenommen, dass drei Faktoren eine Rolle spielen: eine IP-Adresse in Nordamerika, eine Hochgeschwindigkeits-Internetverbindung und die Möglichkeit, Ports auf einem Internet-Gateway-Gerät mithilfe von UPnP zu öffnen.
Sobald eine geeignete Maschine ausgewählt ist, gibt der Malware-Autor einen Kontrollserverbefehl an die infizierte Maschine aus, um eine Trojaner-Binärdatei herunterzuladen, die die Proxy-Komponente erstellt. Beim Start erstellt es Portweiterleitungsregeln, die es dem infizierten Computer ermöglichen, als Kontrollserver über HTTPs verwendet zu werden und Anfragen für neue Pinkslipbot-Infektionen durchzuführen.
„Die von Pinkslipbot erstellten Portweiterleitungsregeln sind zu allgemein, um automatisch entfernt zu werden, ohne das Risiko versehentlicher Netzwerkfehlkonfigurationen einzugehen. Und da die meisten Schadprogramme die Portweiterleitung nicht beeinträchtigen, können Antimalware-Lösungen solche Änderungen möglicherweise nicht rückgängig machen. Leider bedeutet dies, dass Ihr Computer möglicherweise immer noch anfällig für Angriffe von außen ist, selbst wenn Ihr Computer nicht ordnungsgemäß funktioniert „Das Antimalware-Produkt hat alle Pinkslipbot-Binärdateien erfolgreich von Ihrem System entfernt“, warnte der Forscher.
Letztendlich bedeutet dies, dass die Maschine möglicherweise funktioniert, selbst wenn das Opfer Pinkslipbot/Qakbot aus seinem System entfernt hat als Proxy-Kontrollserver für die Malware – und macht sie aufgrund der Offenheit anfällig für andere Formen von Online-Angriffen Häfen.
McAfee hat ein Tool veröffentlicht um nach Pinkslipbot-Kontrollserver-Proxy-Infektionen zu suchen und schädliche Portzuordnungen zu entfernen.
Dennoch warnen Forscher davor der Aufstieg des Internets der Dinge könnte dazu führen, dass diese Art von Angriff in naher Zukunft zu einer viel größeren Bedrohung wird.
„Viele Internet-of-Things-Geräte funktionieren über UPnP und werden täglich von immer mehr Menschen installiert und genutzt. Je allgegenwärtiger sie werden, desto mehr Möglichkeiten sehen Cyberkriminelle, UPnP in böswilliger Absicht zu nutzen. Wir empfehlen Benutzern, ihre lokalen Portweiterleitungsregeln im Auge zu behalten und UPnP auf ihren Heimroutern zu deaktivieren, sofern sie es nicht benötigen“, sagte Karve.
LESEN SIE MEHR ÜBER CYBERKRIMINALITÄT
- Banking-Trojaner testet neue Angriffstechniken gegen hochkarätige Ziele
- Dridex-Trojaner mit AtomBombing-Umgehungstechniken aktualisiert
- Chinesischer Trojaner entdeckte Ausbreitung über gefälschte Basisstationen [CNET]
- Neue Welle von Cyberangriffen gegen globale Banken, die mit der Cyberkriminalitätsgruppe Lazarus in Verbindung stehen
- Dieser Android-Trojaner gibt vor, ein Flash-Sicherheitsupdate zu sein, lädt aber zusätzliche Malware herunter