Der Win32 / Spy.Bebloh-Banking-Trojaner wird zum Stehlen von Online-Banking-Daten verwendet

    Vor kurzem hat der Banking-Trojaner Win32 / Spy.Bebloh seine Aktivitäten im deutschsprachigen Raum deutlich ausgeweitet. Diese Malware wurde bereits 2009 entdeckt und bei der Veröffentlichung neuer Windows-Versionen von Cyberkriminellen aktualisiert.



    Win32 / Spy.Bebloh verwendet den bekannten Kompromissmechanismus für das Betriebssystem des Benutzers namens Man-in-the-Browser (MitB), d. H. Das Trojaner-Programm fügt seinen schädlichen Code in den laufenden Browserprozess ein. Mit dieser Methode werden die vertraulichen Online-Banking-Daten aufgrund der Einführung von Phishing-Inhalten auf legitimen Seiten gestohlen.



    So verteilen Sie Win32 / Spy.BeblohAngreifer verwenden Phishing-E-Mails. Ein potenzielles Opfer erhält einen böswilligen Anhang in Form eines ZIP-Archivs mit einer Bebloh-Pipette. Ein Beispiel für eine solche Nachricht ist unten im Screenshot dargestellt.



    Angreifer verwenden einen überzeugenden Betreff, um den Benutzer zur Installation von Malware zu verleiten. Normalerweise werden Themen verwendet, die anderen böswilligen Kampagnen ähneln, d. H. Der E-Mail-Status des Artikels, eines Bankkontos oder eines anderen wichtigen Dokuments. Im Folgenden sind die Namen der Anhangsdateien aufgeführt, die von den Angreifern verwendet werden.

    • Ihre Rechnung vom 15.04.2015_als_pdf.zip
    • DOC_Bewerbung-Februar_2015.zip
    • VodafoneWillkommen_713153127333.zip
    • DHL_Paket-907628066996.zip
    • DPD_Status dein Paketes_04727471384232 _pdf.zip
    • Anwendung-april2015-DOC.zip

    Unten finden Sie die Namen der ausführbaren Bebloh-Dropper-Dateien aus diesen Archiven.

    • Ihre Rechnung vom 15.04.2015_als_pdf.PDF.exe
    • DOC_Bewerbung-Februar_2015.doc.exe
    • VodafoneWillkommen_769054799033.PDF.exe
    • DHL_Paket-649888400277.xml.exe
    • DPD_Status dein Paketes_01377200117628 _pdf.exe
    • Anwendung-april2015-DOC.DOC_.exe

    Wie bei anderen ähnlichen Banking-Trojanern besteht Win32 / Spy.Bebloh aus einer Nutzlast und bösartigem Code, die in die Prozesse eingebettet sind. Um schädliche Funktionen zu maskieren, ist die nützliche Funktion in einen laufenden Windows Explorer-Prozess (explorer.exe) eingebettet. Die erste Aktion, die von ihrem Code ausgeführt wird, ist für die Überprüfung einer funktionierenden Internetverbindung durch Zugriff auf die Google-Suchmaschine verantwortlich. Wenn eine Verbindung besteht, meldet die Malware eine erfolgreiche Infektion an ihren Remote-C & C-Server. Die Nachricht, die Bebloh an den Server sendet, enthält auch einige zusätzliche Informationen zum Opfer: IP-Adresse, Betriebssysteminformationen usw.



    Die Interaktion mit einem Remote-Server erfolgt über eine sichere SSL-Verbindung. Der Server sendet Bebloh eine verschlüsselte Konfigurationsdatei, die in der Windows-Registrierung gespeichert wird. Die Datei enthält Beblohs Anweisungen, welche Online-Banking-Systeme er kompromittieren sollte.

    Das Schadprogramm verwendet den Mechanismus, um API-Aufrufe im Kontext laufender Prozesse abzufangen. Im Folgenden finden Sie eine Liste solcher Prozesse:

    • Avant Webbrowser (avant.exe)
    • Google Chrome (chrome.exe)
    • Internet Explorer (iexplore.exe)
    • Maxthon Webbrowser (maxthon.exe)
    • Mozilla Webbrowser (mozilla.exe)
    • MyIE Webbrowser (myie.exe)
    • Opera (opera.exe)

    Bebloh steuert auch die Benutzerauthentifizierung bei FTP-Diensten und Mail-Diensten über eine ähnliche API-Überwachung in der folgenden Software:

    • • Core FTP (coreftp.exe)
    • • CuteFTP (ftpte.exe)
    • • FileZilla (filezilla.exe)
    • • FTP Commander Pro (cftp.exe)
    • • FTP Voyager (FTPVoyager.exe)
    • • SmartFTP (SmartFTP.exe)
    • • Total Commander (TOTALCMD.EXE)
    • • WinSCP (WinSCP.exe)
    • • Microsoft Outlook (OUTLOOK.EXE)
    • • Outlook Express (msimn.exe)
    • • Die Fledermaus! (thebat.exe)

    Bebloh kann Dateien aus dem Internet herunterladen und dann auf einem gefährdeten Benutzersystem ausführen. Außerdem kann er Screenshots des Desktops erstellen und seine Dateien auf eine aktuellere Version aktualisieren. Um das Überleben nach einem Neustart sicherzustellen, verwendet die Malware einen bekannten Registrierungsschlüssel.

    Schlussfolgerung

    Zuvor haben wir uns verschiedene Vertreter der Malware-Familien angesehen, die als Banking-Trojaner bekannt sind. Einige von ihnen richten sich an bestimmte Regionen, beispielsweise Corkow, das sich darauf spezialisiert hat, Benutzer aus Russland und der Ukraine zu kompromittieren. Gleiches gilt für Win32 / Spy.Bebloh. Wir haben den größten Fokus auf deutsche Nutzer verzeichnet. Der Verteilungsmechanismus von Bebloh ist nicht besonders und wurde in vielen böswilligen Kampagnen verwendet.

    Jetzt auch beliebt: