Baukasten-Trojaner Zeus jetzt in 64 Bit und mit TOR

Der auf Online-Banking-Betrug spezialisierte Zeus-Trojaner kann sich jetzt auch in 64-Bit-Browser einklinken. Die Malware-Spezialisten von Kaspersky rätseln noch warum. Mehr Sinn macht da schon die Integration des Anonymisierungsnetzes TOR.

In Pocket speichern vorlesen Druckansicht 59 Kommentare lesen
Lesezeit: 2 Min.

Der auf Online-Banking-Betrug spezialisierte Zeus-Trojaner kann sich jetzt auch in 64-Bit-Browser einklinken. Die Malware-Spezialisten von Kaspersky rätseln allerdings noch, warum sich die Gauner die Mühe machen. Mehr Sinn macht da schon die Integration des Anonymisierungsnetzes TOR.

Beim Klick auf den Login-Button dieser Online-Banking-Seite wird die eingeschleuste Spionage-Funktion gotoo() aktiv.

(Bild: Kaspersky)

Auch auf einem 64-bittigen Windows 8.1 laufen Chrome und Internet Explorer als 32-Bit-Prozesse.

Die Betrügereien beim Online-Banking bewerkstelligt Zeus, indem er sich in den Browser-Prozess einklinkt und dann die Web-Seiten der Bank passend manipuliert. Kasperskys Analysten beobachteten ihn etwa dabei, wie er in das Login-Formular eine zusätzliche JavaScript-Funktion einbaute, die unter anderem die verwendeten Zugangsdaten an die Betrüger weiter leitete. Eine aktuelle Version dieses Trojaners kann sich offenbar auch in 64-Bit-Prozesse einklinken. Die Forscher rätseln allerdings noch ein wenig, wozu das gut sein soll, laufen doch selbst auf einem 64-Bit-Windows nahezu alle Browser-Prozesse noch im 32-Bit-Modus. Kasperskys Schätzungen zufolge liegt die Zahl der Anwender, die einen nativen 64-Bit-IE einsetzen weit unter einem Prozent. Vielleicht geht es den Zeus-Machern, die ja im harten Konkurrenzkampf mit anderen Gangs stehen, letztlich nur um das Verkaufsargument "Jetzt auch voll 64-Bit-fähig".

Weit mehr Sinn ergibt die Integration ins Anonymisierungsnetz TOR. So startet der Trojaner heimlich im Hintergrund einen lokalen TOR-Proxy. Alle Abrufe von Web-Seiten, die darüber erfolgen, werden über das TOR-Netz geleitet und lassen sich somit vom Web-Server aus nicht zurückverfolgen. So liefert Zeus dann auch ausspionierte Login-Daten bei einem Tor Hidden Service ab, der sich hinter der Onion-Adresse egzh3ktnywjwabxb.onion verbirgt. Anders als herkömmliche Command&Control-Server dürfte es schwer werden, solche Onion-C&Cs aufzuspüren und still zu legen. Darüber hinaus bieten kompromittierte PCs auch selbst einen versteckten TOR-Dienst an, dessen Adresse sie ihrem Herrn und Meister mitteilen, sodass dieser seine Zombies dann anonym via TOR fernsteuern kann.

Übrigens zeigt die Analyse auch, dass bei einem Trojaner-Befall keineswegs nur das Online-Banking gefährdet ist. Die Gauner nehmen mit, was sie kriegen können. Unter anderem überwachen sie dazu eine ganze Reihe von Prozessen, denen sie Zugangsdaten, Zertifikate und ähnliches klauen. Neben Bitcoin-Wallets finden sich auch Filezilla, WinSCP, Putty und OpenVPN auf der Liste der ausspionierten Programme. (ju)