Phishing-Trojaner sendet Daten über ICMP

Der Sicherheitsdienstleister Websense berichtet auf seiner Webseite von einem bislang namenlosen Phishing-Trojaner, der ergaunerte Daten über ICMP-Pakete verschickt. Der Trojaner installiert sich zur Infektion des Systems als Browser-Helper-Object (BHO) im Internet Explorer. Dort wartet der Schädling darauf, dass der Benutzer vertrauliche Daten auf überwachten Seiten eingibt.

Diese fängt das bösartige BHO dann ab. Der Trojaner hängt die Daten mit einer einfachen XOR-Verschlüsselung verschleiert dann als Nutzlast an ein ICMP-Paket und sendet dieses an den Angreifer zurück. Hierbei handelt es sich um ein Novum, denn bislang nutzten Trojaner beispielsweise HTTP-Post-Anfragen zum Übermitteln der geklauten Daten. Dies ist jedoch möglicherweise zu auffällig – ICMP-Verkehr, der üblicherweise zur Signalisierung von Verbindungsstörungen und zur Diagnose dient, wirkt im Netzwerk für gewöhnlich unverdächtig.

Netzwerkadministratoren sollten darüber nachdenken, ein- und ausgehenden ICMP-Verkehr für Clients im zu schützenden Netz vollständig zu filtern. Die meisten Anwender dürften davon im Alltag nichts merken und der Phishing-Trojaner hätte keine Chance, schützenswerte Daten zu versenden.

Siehe dazu auch: (dmk)

• Data Stolen via ICMP, Sicherheitsmeldung von Websense