Malware mit Lernfaktor

Die seit einigen Jahren aktive Malware Trickbot hat neue Fähigkeiten dazubekommen. Ursprünglich handelte es sich bei dem Schadcode um einen reinen Banking Trojaner. Inzwischen kann Trickbot aber auch Passwörter und mehr abgreifen.

Der seit einigen Jahren wütende Banking-Trojaner Trickbot hat offenbar dazugelernt. Wie die Sicherheitsforscher von Fortinet und Trend Micro berichten, hat es die Schadsoftware nun nicht mehr nur auf Bankdaten, sondern auch auf Passwörter, Cookies, Browser-Historien und sogar Autofill-Informationen abgesehen.

Trickbot wird zumeist getarnt als Excel-Datei per E-Mail verteilt. Will der Nutzer das Dokument öffnen, gibt dieses vor, mit einer älteren Software-Version erstellt worden zu sein. Um diese mit der eigenen verwendeten Version kompatibel zu machen, werden entsprechende Berechtigungen gefordert.

Kommt der User dieser Aufforderung nach, nimmt das Unheil seinen Lauf. Im Hintergrund wird der Trojaner auf das System geladen. Nach verschiedenen Zwischenschritten mit harmlos anmutenden Dateinamen kopiert sich der Schadcode selbst in den "Task Scheduler" des Systems, wie Fortinet beschreibt.

Nach kurzer Zeit schon sendet das Programm eine Anfrage an den Server der Angreifer, um ein weiteres Modul auf dem System des Opfers zu installieren. Dieses heißt je nach System pwgrab32 oder pwgrab64. Die Kriminellen können damit nicht nur Passwörter und Anmeldedaten abgreifen, sondern auch noch weitere Daten extrahieren.

Davon betroffen sind laut Trend Micro vor allem die Tools Microsoft Outlook, Filezilla, WinSCP, Google Chrome, Mozilla Firefox, Internet Explorer und Microsoft Edge. Das Fatale an Trickbot ist zudem, dass er sich durch die Verbindung mit dem Comand-and-Controll-Server der Angreifer fortwährend aktualisiert, schreibt Trend Micro weiter. Dazu lädt die Malware kontinuierlich neue Module nach.

Passwörter in Passwortmanagern gelten als sicher
Positiv sei einzig die Tatsache, dass Trickbot auf die Passwörter, die in Passwortmanagern von Drittanbieter gespeichert sind, nicht zugreifen kann. Ob auch Kennwörter sicher sind, die sich in Browser-Plugins von Passwortmanagern befinden, wird derzeit noch überprüft, so Trend Micro.

Der Trojaner verwendet verschiedene Methoden, um von Virenscannern unentdeckt zu bleiben. Den Nutzern bleibt nur, E-Mails und deren Anhänge von unbekannten Absendern nicht zu öffnen. Dasselbe gilt für unerwartete Anhänge in den Mails vermeintlich bekannter Kontakte.

Verlangt eine angehängte Datei beim Öffnen Berechtigungen, um Makros auszuführen, sollte der Nutzer hellhörig werden und die Datei samt zugehöriger Nachricht umgehend löschen.

Bericht im Com-Magazin