IBM deckt UnregStealer-Banking-Trojaner auf, der lateinamerikanische Banken ins Visier nimmt

IBM entdeckte ein Banking-Trojaner namens UnregStealer, der lateinamerikanische Banken ins Visier nimmt und sich dabei als Chrome-Browser-Erweiterung tarnt. Der leitende Threat-Researcher Itzhak Chimino berichtete, dass die Schadsoftware Nutzer dazu bringt, sie zu installieren, indem sie gefälschte Sicherheitswarnungen über obligatorische Updates von SSL-Zertifikaten anzeigt. Der Trojaner arbeitet mit manueller menschlicher Aufsicht, wodurch er nahezu unsichtbar für Sandboxen und verhaltensbasierte Erkennungssysteme ist, die das Payload-Aktivwerden nie zu Gesicht bekommen. Diese Vorgehensweise ermöglicht es UnregStealer, Sitzungscookies, Passwörter, Einmalpasswörter und Kontonummern von Opfern zu stehlen, die die angegriffenen Banking-Portale besuchen.

UnregStealer tarnt sich als SSL-Zertifikatsupdate

Laut Chimino bringt UnregStealer Nutzer durch erfundene Sicherheitswarnungen in die Irre. Basierend auf der Namenskonvention der ausführbaren Datei und dem Zustellungsmuster werden den Opfern Hinweise präsentiert, die wie eine Sicherheitswarnung wirken, die ihnen sagt, dass ihr Browser ein obligatorisches SSL-Zertifikatsupdate benötigt. Das Zertifikat ist vollständig erfunden, und es gibt keine solche Browser-Anforderung. Es ist lediglich eine überzeugende Ausrede, um das Opfer dazu zu bringen, eine ausführbare Datei auszuführen.

Malware erfasst Banking-Anmeldedaten durch Sitzungsbeobachtung

Während ein Nutzer im Internet surft, führt die Malware ein Skript aus, das prüft, ob das Opfer eine der Websites besucht, die in der Liste der angegriffenen Banking-Portale aufgeführt sind. Wenn ja, stiehlt die Malware Sitzungscookies für die Banking-Website, die das Opfer gerade besucht. Jedes Mal, wenn ein Feld angeklickt und Informationen eingegeben werden, erfasst die Malware privilegierte Informationen wie Passwörter, Einmalpasswörter und Kontonummern.

Manuelle Bedienung ermöglicht das Ausweichen von Erkennungssystemen

Chimino erklärte, dass dieser Trojaner einen realen Betreiber beinhaltet, der jede Opfersitzung live beobachtet und den Auslöser manuell betätigt. Diese Variante macht die Kampagne nahezu unsichtbar für Sandboxen und verhaltensbasierte Erkennungssysteme, die das Payload-Aktivwerden nie sehen. Sobald die Informationen erfasst sind, wird der nächste Schritt von UnregStealer durch seinen menschlichen Betreiber bestimmt.

IBM identifiziert Potenzial für eine erweiterte Zielauswahl

Laut Chimino hat die Banking-Schadsoftware UnregStealer die Kapazität und das Potenzial, eine größere Bedrohung darzustellen. Die beobachteten Infrastrukturmuster deuten auf einen Betreiber hin, der die Fähigkeit und Motivation besitzt, die Zielauswahl über das hinaus auszuweiten, was diese Untersuchung bestätigt hat.

FAQ

Was ist UnregStealer und wie zielt es auf Opfer ab?

UnregStealer ist ein Banking-Trojaner, der lateinamerikanische Banken ins Visier nimmt, indem er sich als Chrome-Browser-Erweiterung tarnt. Er bringt Nutzer dazu, ihn über gefälschte Sicherheitswarnungen über obligatorische SSL-Zertifikatsupdates zu installieren, die vollständig erfunden sind.

Wie umgeht UnregStealer Erkennungssysteme?

Die Malware beinhaltet einen realen Betreiber, der jede Opfersitzung live beobachtet und den Auslöser manuell betätigt. Diese manuelle Arbeitsweise macht die Kampagne nahezu unsichtbar für Sandboxen und verhaltensbasierte Erkennungssysteme, die nie sehen, wie das Payload aktiviert wird.

Welche Informationen stiehlt UnregStealer von Opfern?

UnregStealer stiehlt Sitzungscookies für Banking-Websites und erfasst privilegierte Informationen wie Passwörter, Einmalpasswörter und Kontonummern, sobald ein Feld angeklickt und Informationen in den angegriffenen Banking-Portalen eingegeben werden.