Palo Alto Networks hat ein weltweites Distributionsnetz des berüchtigten Banking-Trojaners Ursnif (auch bekannt als Gozi) entdeckt. Ursnif wird in einigen europäischen Ländern, darunter auch in Deutschland, sowie in Japan kontinuierlich bei Angriffen eingesetzt. Als Schlüsseltechnik zur Auslieferung kommen Spam-E-Mails mit einem bösartigen Attachments zum Einsatz, um die Ursnif-Datei dann von einem entfernten Standort herunterzuladen.
Die Kriminellen nutzen für ihre Angriffe zwei Hauptkomponenten: ein Spam-Bot-Netzwerk und mehrere kompromittierte Webserver. Bislang ist noch unklar, ob eine einzelne Gruppe mehrere Länder mit verschiedenen Bedrohungen durch die Nutzung dieser Infrastruktur angreift oder zahlreiche Bedrohungsakteure die Infrastruktur teilen. Die meisten Malware-Dateien hat Palo Alto Networks entweder als Banking-Trojaner oder Downloader-Trojaner klassifiziert. Das Spam-Botnet konzentriert sich auf deren Verbreitung in Deutschland, Japan, Italien, Spanien, Polen und Australien. Die kompromittierten Webserver dienen als Host-System für Banking-Trojaner und Spam-Bot-Dateien, die vom bösartigen Downloader-Programm, das per Spam verteilt wird, heruntergeladen werden.
Der jüngste Anhang, den Palo Alto Networks entdeckt hat, ist ein JavaScript-Downloader, der Ursnif einfach von einem entfernten Standort herunterlädt und auf einer kompromittierten Maschine ausführt.
Der Backdoor-Trojaner Shiotob (auch bekannt als Bebloh oder URLZone) war die bisher am meisten verbreitete Bedrohung in dieser Angriffsserie. Die Forscher identifizierten 75 einzigartige Shiotob-Varianten in sieben Millionen Spam-E-Mails. Interessanterweise kann Shiotob selbst Online-Bankdaten stehlen, aber die Angreifer nutzten Shiotob nur für das Herunterladen der wichtigsten Inhalte, darunter Ursnif. „Distributionsnetzwerk von Malware nimmt Banken ins Visier“ weiterlesen