Analyse: Phishing-Kit V3B ist auf Commerzbank, Sparkasse & Co. zugeschnitten
Sicherheitsforscher haben die Machenschaften rund um eine europaweit aktiven Online-Banking-Malware untersucht.
(Bild: JARIRIYAWAT/Shutterstock.com)
Nach dem Malware-as-a-Service-Modell können Kriminelle gegen eine Monatsgebühr das Phishing-Kit V3B mieten. V3B ist auf europäische Banken maßgeschneidert, um Kundendaten abzugreifen. Darunter fallen auch mehrere Banken aus Deutschland. Sicherheitsforscher von Resecurity haben die Malware nun analysiert.
Hintergründe
Wie aus ihrem Bericht hervorgeht, ist das Kit derzeit für 54 europäische Banken optimiert. Darunter fallen in Deutschland die Banken Commerzbank, Deutsche Bank, DKB, Hypovereinsbank, O2, Targo und Volksbank. Die Cyberkriminellen sind offensichtlich, zumindest hierzulande, aber nicht mehr auf dem aktuellen Stand: Das O2-Banking-Angebot wurde 2022 eingestellt.
(Bild: Resecurity)
Das Phishing-Kit bringt den Forschern zufolge mehrere Module mit, um unter anderem Zugangsdaten und Zwei-Faktor-Authentifizierungscodes (2FA) für das Onlinebanking abzugreifen.
Möglichkeiten der Malware
In welchem Umfang die Attacken stattfinden, ist derzeit nicht bekannt. Die Forscher geben an, dass sich die Kriminellen in einer Telegram-Gruppe mit über 1255 Mitgliedern organisieren. Die monatlichen Preise für die Malware sollen sich auf 130 bis 450 US-Dollar belaufen. Die Kosten setzen sich aus den verfügbaren Modulen und dem auf bestimmte Banken angepassten Code zusammen.
Die Forscher führen aus, dass die Kriminellen ihren Schadcode regelmäßig aktualisieren, um die Entdeckung durch Virenscanner zu erschweren. Darunter fallen etwa optimierte Methoden zum Kopieren von Log-in-Daten, um IT-Sicherheitstools etwa durch Code-Obfuskation in die Irre zu führen.
Das Kit soll sogar einen Livechat mit Opfern erlauben, damit Betrüger getarnt als Bankmitarbeiter persönliche Daten abgreifen können. Es gebe sogar ein auf deutsche Banken zugeschnittenes Modul geben, um via PhotoTAN-Verfahren erzeugte 2FA-Codes abzufangen. Wie das im Detail funktioniert, führen die Forscher zurzeit nicht aus.
Damit die erbeuteten Daten bei den Kriminellen landen, nutzt V3B die Telegram-API. Dadurch werden die Betrüger umgehend benachrichtigt und können die Daten missbrauchen.
Hinweise auf Attacken erkennen
Wie die Angriffe im Detail ablaufen, erläutern die Autoren des Berichts derzeit nicht. In diesem Kontext sprechen sie von verschiedenen Social-Engineering-Taktiken. Es ist davon auszugehen, dass die Attacken über Phishingmails und -Websites eingeleitet werden.
Am Ende ihres Berichts führen die Forscher mehrere Hinweise auf, wie man bereits attackierte Systeme erkennt. Darunter fallen etwa MD5-Hashes von Schadcodedateien und URLs wie kundenaktualisierungen.cc.
(des)
