Trojaner Odinaff stiehlt Anmeldedaten von Kreditinstituten

Cyberkriminelle benutzen einen neuen Banking-Trojaner, mit dem sie weltweit Netzwerke von Finanzinstituten ausspähen und Anmeldedaten von Kunden stehlen. Die Malware, mit der auch Aktivitäten von Bank-Mitarbeitern überwacht und aufgezeichnet werden können, nennt sich Odinaff. Sie ist laut Untersuchung von Symantec seit Januar dieses Jahres aktiv.

Für ihren Datenklau benutzen die Hacker verschiedene Techniken. Meisten verleiten sie Mitarbeiter von Finanzinstituten zum Öffnen präparierter Dokumente. Diese enthalten die gefährliche Makros, die in Office-Anwendungen wie Word deaktiviert sind. Mithilfe von Warnmeldungen zu Darstellungsfehlern sollen Betroffene dazu gebracht werden, die Makros zuzulassen.

Darüber hinaus wird Odinaff auch über passwortgeschützte RAR-Archive verbreitet. Die Symantec-Forscher gehen davon aus, dass die schädlichen Dateien durch Spear-Phishing-E-Mails auf die Rechner der Opfer eingeschleust werden.

Malware

Malware (Bild: Shutterstock)

Die Malware verfügt über maßgefertigte Tools, um ihre Aufgaben erledigen zu können. So zeichnet der Trojaner Screenshots auf und verschickt sie an einen Befehlsserver. Hat die Malware ein System verseucht, installiert sie eine weitere Schadsoftware namens Batel. Sie kann Schadcode ausschließlich im RAM ausführen, was es ihr erlaubt, unerkannt im Hintergrund zu agieren.

Die Steuerung von Odinaff sowie das Ausführen der einzelnen Komponenten benötigt der Analyse zufolge viele manuelle Eingriffe. Neue Malware-Tools werden beispielsweise nur heruntergeladen und installiert, wenn sie tatsächlich benötigt werden. Die Forscher vermuten deswegen, dass den Cyberkriminellen umfangreiche Ressourcen zur Verfügung stehen.

Täter und Opfer von Odinaff

Die Hintermänner stehen möglicherweise in Verbindung mit den für den Banking-Trojaner Carbanak verantwortlichen Hackern. Dafür spricht, dass drei IP-Adressen der Odinaff-Befehlsserver auch im Zusammenhang mit Carbanak-Kampagnen erfasst wurden. Eine IP-Adresse wurde zudem beim Einbruch in die Systeme der Oracle-Tochter Micros registriert.

Rund ein Viertel der Odinaff-Opfer fanden die Symantec-Forscher in den USA. 20 Prozent der Ziele kommen aus Hongkong. Weitere 19 Prozent entfallen auf Australien. Auch Banken in Großbritannien, der Ukraine und Irland sind betroffen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Neueste Kommentare 

Noch keine Kommentare zu Trojaner Odinaff stiehlt Anmeldedaten von Kreditinstituten

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *