heise Security

Baukasten-Trojaner Zeus jetzt in 64 Bit und mit TOR

Jürgen Schmidt

Der auf Online-Banking-Betrug spezialisierte Zeus-Trojaner kann sich jetzt auch in 64-Bit-Browser einklinken. Die Malware-Spezialisten von Kaspersky [1] rätseln allerdings noch, warum sich die Gauner die Mühe machen. Mehr Sinn macht da schon die Integration des Anonymisierungsnetzes TOR.


Beim Klick auf den Login-Button dieser Online-Banking-Seite wird die eingeschleuste Spionage-Funktion gotoo() aktiv.
Bild: Kaspersky

Die Betrügereien beim Online-Banking bewerkstelligt Zeus, indem er sich in den Browser-Prozess einklinkt und dann die Web-Seiten der Bank passend manipuliert. Kasperskys Analysten beobachteten ihn etwa dabei, wie er in das Login-Formular eine zusätzliche JavaScript-Funktion einbaute, die unter anderem die verwendeten Zugangsdaten an die Betrüger weiter leitete. Eine aktuelle Version dieses Trojaners kann sich offenbar auch in 64-Bit-Prozesse einklinken. Die Forscher rätseln allerdings noch ein wenig, wozu das gut sein soll, laufen doch selbst auf einem 64-Bit-Windows nahezu alle Browser-Prozesse noch im 32-Bit-Modus. Kasperskys Schätzungen zufolge liegt die Zahl der Anwender, die einen nativen 64-Bit-IE einsetzen weit unter einem Prozent. Vielleicht geht es den Zeus-Machern, die ja im harten Konkurrenzkampf mit anderen Gangs stehen, letztlich nur um das Verkaufsargument "Jetzt auch voll 64-Bit-fähig".
Auch auf einem 64-bittigen Windows 8.1 laufen Chrome und Internet Explorer als 32-Bit-Prozesse.

Weit mehr Sinn ergibt die Integration ins Anonymisierungsnetz TOR. So startet der Trojaner heimlich im Hintergrund einen lokalen TOR-Proxy. Alle Abrufe von Web-Seiten, die darüber erfolgen, werden über das TOR-Netz geleitet und lassen sich somit vom Web-Server aus nicht zurückverfolgen. So liefert Zeus dann auch ausspionierte Login-Daten bei einem Tor Hidden Service ab, der sich hinter der Onion-Adresse egzh3ktnywjwabxb.onion verbirgt. Anders als herkömmliche Command&Control-Server dürfte es schwer werden, solche Onion-C&Cs aufzuspüren und still zu legen. Darüber hinaus bieten kompromittierte PCs auch selbst einen versteckten TOR-Dienst an, dessen Adresse sie ihrem Herrn und Meister mitteilen, sodass dieser seine Zombies dann anonym via TOR fernsteuern kann.

Übrigens zeigt die Analyse auch, dass bei einem Trojaner-Befall keineswegs nur das Online-Banking gefährdet ist. Die Gauner nehmen mit, was sie kriegen können. Unter anderem überwachen sie dazu eine ganze Reihe von Prozessen, denen sie Zugangsdaten, Zertifikate und ähnliches klauen. Neben Bitcoin-Wallets finden sich auch Filezilla, WinSCP, Putty und OpenVPN auf der Liste der ausspionierten Programme. (ju [2])


URL dieses Artikels:
http://www.heise.de/security/meldung/Baukasten-Trojaner-Zeus-jetzt-in-64-Bit-und-mit-TOR-2064515.html

Links in diesem Artikel:
  [1] http://www.securelist.com/en/blog/208214171/The_inevitable_move_64_bit_ZeuS_has_come_enhanced_with_Tor
  [2] mailto:ju@ct.de