Online-Banking-Kunden per Malware infiziert

„Eurograbber Attack“ erbeutet mehr als 36 Millionen Euro

Die Sicherheitsfirmen Check Point und Versafe verkünden die Aufdeckung eines europaweiten Malware-Angriffes, der mit dem Namen „Eurograbber Attack“ beschrieben wird. Dabei wurde die Zwei-Stufen-Authentifizierung der Banken ausgehebelt und so insgesamt mehr als 36 Millionen Euro von etwa 30.000 Bankkonten entwendet.

Betroffen waren Firmen und private Kunden, die für ihre Transaktionen auf eine Authentifizierung per mTAN, auch smsTAN genannt, setzten. Der zweistufige Angriff nutzte zwei Trojaner, die sich auf dem Computer und dem Mobiltelefon des Opfers installierten. Ersteres wurde über schädliche Links beim Surfen im Internet oder eine Phishing-E-Mail realisiert. Dieser erste Schritt installierte dann abgewandelte Versionen der Trojaner „Zeus“, „SpyEye“ und „CarBerp“. So hatten die Angreifer Zugriff auf das Kundenkonto und manipulierten zusätzlich die Oberfläche des Online-Banking-Portals, was sich beim nächsten Anmelden bemerkbar machte. Dem Opfer wurde ein „Sicherheitsupdate“ des TAN-Verfahrens der Bank vorgetäuscht, wobei der Nutzer das Betriebssystem des Smartphones und eine Telefonnummer in einer speziellen Eingabemaske angeben sollte.

Daraufhin wurde an das Opfer eine SMS versandt, die zum Abschluss des vermeintlichen Sicherheitsupdates durch Klicken eines Links aufforderte. Dies hatte tatsächlich aber den Download des „Zeus-in-the-mobile“-Trojaners (ZITMO) zur Folge. Dieser wurde speziell entwickelt um die SMS der Bank mitsamt der TAN abzufangen. Auf diese Weise wurde die Zwei-Stufen-Authentifizierung ausgehebelt und es konnte unbemerkt Geld von dem Konto entwendet werden. Die gewonnenen Daten wurden auf einem sogenannten Command-and-Control-Server in einer SQL-Datenbank für spätere Angriffe gespeichert. Dabei setzten die Angreifer auf ein Netzwerk verschiedener Server und Domains, die außerdem durch Proxy-Server geschützt wurden.

Die Angriffe starteten zunächst nur in Italien, wobei wenig später auch tausende Konten in Deutschland, den Niederlanden und Spanien betroffen waren. Beträge in Höhe von 500 bis 250.000 Euro konnten so von diversen Privat- und Firmenkunden auf Scheinkonten der Angreifer transferiert werden. Dank der großen Marktpräsenz galt die Attacke laut Check Point und Versafe vor allem Kunden mit BlackBerry- oder Android-Geräten. Bisher scheinen sich die Angriffe auf die Eurozone zu begrenzen, doch eine weitere Verbreitung schließen die Sicherheitsfirmen nicht aus. Außerdem stehe man in Kontakt zu den Bankinstituten um bei der Aufklärung zu helfen. Eine sehr detaillierte Beschreibung des Angriffs bietet Check Point auf seiner Webseite (PDF) an.