Monster-Trojaner stiehlt Daten von Arbeitssuchenden

SecureWorks und Symantec berichten von einem Trojaner, der Zugänge zur Jobbörse Monster.com missbraucht, um Daten von Arbeitssuchenden auszuspähen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 171 Beiträge
Von
  • Dirk Martin Knop

Die Sicherheitsdienstleister Symantec und SecureWorks haben einen Trojaner entdeckt, der Arbeitgeber-Zugänge von Monster.com nutzt, um an persönliche Daten von Arbeitssuchenden zu kommen. Der Troajner wird per E-Mail-Anhang und durch Webseiten verbreitet, die Schwachstellen in Webbrowsern und weiterer Software ausnutzen. US-amerikanische Medien berichten aber auch von Werbung auf Monster.com, die den Schadcode auf die Rechner der Opfer schleust.

Der Trojaner Infostealer.Monstres (Symantec) beziehungsweise PrgTrojan (SecureWorks) wird mit einer Baukasten-Software erstellt. Er nutzt einen eigenen, neuen Laufzeitpacker und kennt zahlreiche Möglichkeiten, seinen schädlichen Code zu verschleiern, indem er etwa einfache Operationen mit langen, umständlichen Aufrufen ersetzt. Das soll einerseits die Erkennung mit Signaturen, andererseits eine heuristische Erkennung durch Antivirensoftware verhindern. Gesammelte Daten verschicken infizierte Rechner über Proxies an die eigentlichen Server, die sich so nur schwer aufspüren lassen. Diese lagern die Daten verschlüsselt, damit sie Dritte nicht einfach einsehen können.

Der Trojaner klinkt sich in mehrere Systemfunktionen ein, um sich mit Rootkit-Techniken zu verstecken. Außerdem überwacht er die Internetkommunikation, indem er sich in die Winsock-Bibliothek und die WinInet.dll einhakt. Daten, die per gesicherter SSL-Verbindung verschickt werden, kopiert er unverschlüsselt aus dem Arbeitsspeicher und versendet sie an die Sammel-Server.

Zusätzlich nutzt Infostealer.Monstres gestohlene Zugangsdaten zu den Arbeitgeber-Seiten von Monster.com, um persönliche Daten von Arbeitssuchenden zu sammeln. Die Daten fragt der Trojaner über die Subdomains hiring.monster.com und recruiter.monster.com ab, wodurch hauptsächlich englischsprachige Arbeitssuchende betroffen sind. Zu den Daten, die der Schädling ausspäht, gehören unter anderem die Sozialversicherungsnummer, Kontodaten, Name respektive Anschrift, Telefonnummern, E-Mail-Adressen sowie Benutzernamen und Passwörter.

Symantec hat auf einem Server mehr als 1,6 Millionen Datensätze entdeckt, die zu mehreren hundertausend Jobsuchenden gehören, die dem Sicherheitsdienstleister zufolge größtenteils aus den USA kommen. Der Trojaner kann auch Spam versenden. Dabei hat Symantec auch Verbindungen zum Schädling GPCoder ausgemacht, der Daten auf der Festplatte verschlüsselt und betroffene Anwender um Geld für ein Entschlüsselungswerkzeug erpresst. Monster.com-Phishing-Mails mit GPCoder im Anhang sollen von den kriminellen Idividuen verschickt worden sein. Diese Phishing-Mails enthielten persönliche Daten der Opfer und sahen echten Monster.com-Mails recht ähnlich.

Zum Schutz vor diesem und ähnlichen Schädlingen helfen die üblichen Sicherheitsmaßnahmen: Alle Updates für das Betriebssystem und verwendete Software einspielen, keine Anhänge in unerwarteten E-Mails öffnen oder Links darin folgen sowie eine aktuelle Antivirenlösung einsetzen. Weitere Hinweise zum Schutz vor Schädlingsbefall liefern die Antiviren-Seiten von heise Security. (dmk)