Das SANS Internet Storm Center hat einen besonders heimtückischen Trojaner entdeckt, der über eine Schwachstelle im Internet Explorer installiert wird und Online-Banking-Daten ausspioniert.
Der Hinweis kam von einer Firma, die einen Vorfall untersuchte, bei dem eine unbekannte, verschlüsselte Datei auf dem Rechner eines Angestellten installiert wurde. Die weiteren Analysen zeigten, dass die Datei über ein bekanntes Sicherheitsloch des Internet Explorer (Installieren und Ausführen von Dateien via mhtml-Redirect auf dem Browsercheck) dort hin gelangte, aber wegen der eingeschränkten Rechte des Anwenders nicht zur Ausführung kam.
Die Analyse der Datei enthüllte, dass es sich um ein sogenanntes Browser Helper Object (BHO) handelt. Analog zu den Browser-Erweiterungen bei Mozilla erweitern BHOs den Internet Explorer um zusätzliche Funktionen wie Toolbars. Sie laufen innerhalb des IE-Prozesses und haben Zugang zu allen Ereignissen. Dieses spezielle BHO nutzt diesen Zugang, um gezielt Online-Banking auszuspionieren. Dazu klinkt es sich auch in verschlüsselte https-Verbindungen ein und greift die Daten im Klartext ab. Auf der vom ISC extrahierten Liste mit 49 ausspionierten Banken finden sich unter anderem auch
.deutsche-bank.de
.citibank.de
.sparkasse-banking.de
banking.lbbw.de
dit-online.de
.dab-bank.com
Die geklauten Daten enthalten Benutzerdaten inklusive Passwörtern. Das Trojaner-BHO sendet sie verschlüsselt an einen externen Server. Durch die Verschlüsselung umgeht es einfache Alarmmechanismen wie die von ZoneAlarm, die verhindern sollen, dass Passwörter ohne Wissen des Anwenders verschickt werden.
Festzustellen, ob auf dem eigenen Rechner BHOs installiert sind, ist gar nicht so einfach. Denn die Verwaltung von Browser-Erweiterungen ist im Internet Explorer bisher sehr unterentwickelt. Erst zusätzliche Tools wie BHODemon verschaffen einen Überblick über die aktuell installierten BHOs. Mit Service Pack 2 für Windows XP will Microsoft allerdings eine grafische Add-On-Verwaltung nachrüsten (siehe dazu auch: Vergitterte Fenster, Teil 2 auf heise Security).
Bisher gibt es keine Anzeichen, dass dieser BHO-Trojaner bereits große Verbreitung hat. Alarmierend ist jedoch die Tatsache, dass die Schwachstellen des Internet Explorer immer gezielter und raffinierter ausgenutzt werden. Bereits seit weit über einem Jahr gibt es eigentlich immer ein bekanntes IE-Loch mit der Möglichkeit Programme zu installieren, für das Microsoft noch keinen Patch geliefert hat.
Quelle: http://www.heise.de/newsticker/meldung/48769
Der Hinweis kam von einer Firma, die einen Vorfall untersuchte, bei dem eine unbekannte, verschlüsselte Datei auf dem Rechner eines Angestellten installiert wurde. Die weiteren Analysen zeigten, dass die Datei über ein bekanntes Sicherheitsloch des Internet Explorer (Installieren und Ausführen von Dateien via mhtml-Redirect auf dem Browsercheck) dort hin gelangte, aber wegen der eingeschränkten Rechte des Anwenders nicht zur Ausführung kam.
Die Analyse der Datei enthüllte, dass es sich um ein sogenanntes Browser Helper Object (BHO) handelt. Analog zu den Browser-Erweiterungen bei Mozilla erweitern BHOs den Internet Explorer um zusätzliche Funktionen wie Toolbars. Sie laufen innerhalb des IE-Prozesses und haben Zugang zu allen Ereignissen. Dieses spezielle BHO nutzt diesen Zugang, um gezielt Online-Banking auszuspionieren. Dazu klinkt es sich auch in verschlüsselte https-Verbindungen ein und greift die Daten im Klartext ab. Auf der vom ISC extrahierten Liste mit 49 ausspionierten Banken finden sich unter anderem auch
.deutsche-bank.de
.citibank.de
.sparkasse-banking.de
banking.lbbw.de
dit-online.de
.dab-bank.com
Die geklauten Daten enthalten Benutzerdaten inklusive Passwörtern. Das Trojaner-BHO sendet sie verschlüsselt an einen externen Server. Durch die Verschlüsselung umgeht es einfache Alarmmechanismen wie die von ZoneAlarm, die verhindern sollen, dass Passwörter ohne Wissen des Anwenders verschickt werden.
Festzustellen, ob auf dem eigenen Rechner BHOs installiert sind, ist gar nicht so einfach. Denn die Verwaltung von Browser-Erweiterungen ist im Internet Explorer bisher sehr unterentwickelt. Erst zusätzliche Tools wie BHODemon verschaffen einen Überblick über die aktuell installierten BHOs. Mit Service Pack 2 für Windows XP will Microsoft allerdings eine grafische Add-On-Verwaltung nachrüsten (siehe dazu auch: Vergitterte Fenster, Teil 2 auf heise Security).
Bisher gibt es keine Anzeichen, dass dieser BHO-Trojaner bereits große Verbreitung hat. Alarmierend ist jedoch die Tatsache, dass die Schwachstellen des Internet Explorer immer gezielter und raffinierter ausgenutzt werden. Bereits seit weit über einem Jahr gibt es eigentlich immer ein bekanntes IE-Loch mit der Möglichkeit Programme zu installieren, für das Microsoft noch keinen Patch geliefert hat.
Quelle: http://www.heise.de/newsticker/meldung/48769