Gefahr durch die neue Banking-Malware „Dyre”

Vor kurzem wurde eine neue, gefährliche Malware entdeckt, die Bankinformationen stiehlt, ohne dass die Nutzer etwas davon mitbekommen.

Diese Trojaner-Software – Dyre oder Dyreza genannt (und von ESET-Software als Win32/Battdil.A erkannt) – wurde von Forschern entdeckt, die einen Phishing-Betrug bei Dropbox untersuchten. Es wird angenommen, dass es sich um eine ganz neue Malware-Familie handelt, die der Zeus-Malware ähnelt.

Offensichtlich wurde Dyre konzipiert, um ganz bestimmte Banken anzugreifen – Bank of America, CitiGroup, NatWest, RBS und Ulsterbank. Es wird angenommen, dass es sich hierbei um ein „Verbrechen als Dienstleistung“ handelt – eine Malware, die an den meist bietenden versteigert wird. Untersuchungen zufolge ist sie in der Lage, sowohl SSL-Verschlüsselungs- als auch Zwei-Faktor-Authentifizierungs-Systeme zu umgehen.

Mit der Phishing-Aktion sollte die Malware verbreitet werden. Der Nutzer wurde hierbei aufgefordert, eine zip-Datei herunterzuladen, die angeblich Informationen über Rechnungen oder Steuern enthielt. Dropbox hat schnell reagiert und die Links vom System entfernt, aber die Hacker sind zu Cubby gewechselt – einem ähnlichen Dienst –, um ihre Aktion weiterzuführen. Durch die Nutzung solcher Webseiten ist die Malware in der Lage, URL-prüfende Software zu umgehen, die Dateien erkennt, die von verdächtigen Domains kommen.

Laut SC Magazine ist die Malware eine kleine Veränderung im Code davon entfernt, Details über Facebook- und Gmail-Konten oder andere Informationen zu stehlen, die über mit HTTPS geschützte Webseiten versendet werden.

Die große Gefahr von Dyre geht von der Fähigkeit aus, Nutzer im Glauben zu lassen, dass sie eine sichere SSL-Verbindung zu ihrer Banking-Seite haben, während in Wirklichkeit ein „Man-in-the-Middle“-Angriff ausgeführt und Daten abgefangen werden. Hierbei wird die vermeintlich sichere Verbindung zu keinem Zeitpunkt unterbrochen.

Dyre injiziert den Schadcode in den Webbrowser. Sobald ein Opfer dann seine Online-Banking-Seite aufruft, werden die Informationen gestohlen. Die Malware funktioniert bei Chrome, Firefox und Internet Explorer und tarnt sich manchmal als Flash Player Download.

Eine relativ gute Nachricht gibt es dennoch: Dyre ist – zumindest in mancher Beziehung – nicht so weit fortgeschritten wie andere Trojaner. So berichtet zum Beispiel Dark Reading, dass Dyre derzeit nicht in der Lage ist, die Kommunikation zwischen Computern in dem Botnetz, das Dyre ausführt, zu verschlüsseln.