Ursprünglich war der Schadcode so informiert onlinepc von dem aktiven Malware Trickbot ein Banking Trojaner. Doch nun hat er eine Fähigkeit dazugewonnen. Es ist ihm nun unter anderem möglich Passwörter abzufangen.

Quelle:  https://www.onlinepc.ch/internet/sicherheit/banking-trojaner-trickbot-gefaehrlicher-1621442.html

Banking Trojaner Trickbot

 

Bankdaten werden ausgespäht

Trickbots können, wie der seit geraumer Zeit wütende Banking-Trojaner Trickbot jetzt unter Beweis stellt, mit der Zeit dazu lernen. Forscher der Sicherheit von Trend Micro als auch Fortinet haben jetzt herausgefunden, dass diese bösartige Software unlängst nicht mehr lediglich auf das Ausspähen vertrauliche Bankdaten spezialisiert ist, sondern inzwischen auch auf Browser-Verläufe und Passwörter.

Trickbot als Datei im Excel-Format getarnt

Oft wird hierbei der Trickbot als Datei im Excel-Format getarnt, per elektronischer Post in Umlauf gebracht. Sollte der User diesen Anhang dann öffnen wollen, wird er darauf hingewiesen zum Öffnen bestimmte Berechtigungen zu erlauben, da die Datei vorgaukelt mithilfe einer veralteten Softwarteversion verfasst worden zu sein. Das Unglück nimmt seinen Gang, sobald der Empfänger der Forderung nachkommt, denn hintergründig wird die Malware auf den Rechner gespielt und infiziert diesen. Es folgen unterschiedliche Zwischenschritte, die keinen auffälligen Namen besitzen, die aber den Schadcode in den sogenannten „Task Scheduler“ des Systems transferieren. Es dauert nicht lange, bis die Malware eine Nachricht an den Server des Angreifers schickt, um eine weitere Komponente auf das System des Betrugsopfers zu hinterlassen. Je nach Art des Systems können diese den Namen pwgrab mit der Endung 64 oder 32 aufweisen. Dadurch ist es den Angreifern möglich, nicht nur Daten herauszuziehen, sondern besonders Login-Daten und Passwörter für sich und ihre Machenschaften zu gewinnen.

Verschiedenen Explorer sind bettroffen

Insbesondere sind unter anderem folgende Tools betroffen: die meisten Explorer wie Mozilla Firefox und Chrom, Microsoft Outlook als auch Edge, laut Trend Micro. Trend Micro berichtet außerdem, dass das Schlimme an diesem Bot sei, dass dieser sich mithilfe der Connection mit dem Command-and-Control-Server der Attackierer sich fortlaufend selbstständig aktualisieren kann.

Passwörter in Passwortmanagern gelten als geschützt

Der Bot kann beispielsweise auf die Passwörter, welche in solchen, oben genannten Managern für Passwörter, von Drittanbietern hinterlegt sind, keinen Zugriff erlangen. Noch geprüft wird hingegen, ob Kennwörter ausreichend Schutz haben, welche in solchen Managern von Plugins als auch Browsern hinterlegt sind.

Um von Anti-Virenscannern unerkannt zu bleiben, bedient sich die Malware unterschiedlicher Module. Ihnen als Nutzer bleibt nur eines: Öffnen Sie keine Mails und Anhänge von fremden Versendern. Dies gilt auch für Anhänge in Mails von angeblich vertrauten Kontakten, mit welchen Sie nicht gerechnet haben.

Sie als Nutzer sollten hellhörig werden und die Alarmglöckchen klingeln hören, wenn ein beigefügtes Dokument beim Öffnen nach der Erlaubnis zum Ausführen von Makros verlangt. Das Beste, was man mit dieser Art von Mails machen kann, ist sie zu löschen.