Digital Life
09/03/2015

Neuer Banking-Trojaner taucht auch in Österreich auf

IBM-Forscher haben mit "Shifu" einen neuen Trojaner identifiziert, der es auf Banken aus Deutschland, Japan und Österreich abgesehen hat.

"Shifu" ist das japanische Wort für Dieb, der gleichlautende Trojaner greift derzeit die Systeme von 14 japanischen Banken an, wie IBM schreibt. Auch europäische Bank-Portale sind laut IBM betroffen, 12 Prozent der Angriffsziele liegen demnach in Österreich oder Deutschland. Das besondere an Shifu ist, dass die Schadsoftware mit einem eigenen Virenscanner nach anderen Viren und Trojanern sucht, um diese von den befallenen Systemen zu entfernen. Der Schädling verschafft sich so exklusiven Zugang zu befallenen Systemen. Von Passwörtern, über EC-Karten bis hin zu Bezahlterminals ist wenig vor Shifu sicher – auch Software der Banken nicht.

Daten als Ziel

Schon seit April 2015 versuchen Cyberkriminelle mit dem Shifu-Trojaner die Systeme von japanischen Banken sowie Banking-Plattformen in Europa zu durchdringen. Aktiv attackiert wurden bisher japanische Geldinstitute. Shifu stiehlt auf den befallenen Systemen nach Möglichkeit Zugangsdaten, darunter über einen Key-Logger auch Passwörter, sowie private Zertifikate und Authentifizierungstoken. Diese Daten nutzen die Cyberkriminellen, um sich als die rechtmäßigen Inhaber von Bankkonten auszugeben. Auch der Inhalt von Chipkarten, etwa EC-Karten, ist nicht vor ihnen sicher, sofern diese über einen Kartenleser an ein befallenes Gerät angeschlossen sind. Dazu zählen auch mit dem Netz verbundene Verkaufsterminals, die Shifu befällt, um die darüber laufenden Bezahlinformationen auszulesen.

Während viele Trojaner Websites von Banken befallen, gibt es wenige, die es auf die zugrunde liegende Banking-Plattform abgesehen haben. Zur letzteren Gruppe zählt auch der Shifu-Trojaner, der gezielt nach den Authentifizierungstoken sucht, die für den externen Zugriff auf diese Plattformen benötigt werden. Mit diesem Vorgehen schlagen die Hacker mehrere Fliegen mit einer Klappe, denn Banking-Applikationen werden meist von mehreren Banken genutzt. Ist eine Plattform gehackt, sind damit die Systeme auch anderer Geldinstitute verwundbar. Auf der Suche nach dem Ursprung des Shifu-Trojaners sind die IBM Sicherheitsexperten in dessen Skripten auf Kommentare in russischer Sprache gestoßen. Andere Zeichenketten wiederum sind zwar nicht in kyrillischem Schriftcode geschrieben, haben jedoch eine russische Bedeutung, darunter Begriffe wie „Buchhaltung“ oder „Kasse“. Ob diese Indizien auf einen Ursprung der Hacker aus Russland oder einem anderen russischsprachigen Land schließen lassen, ist nicht geklärt. Möglich ist auch, dass die Cyberkriminellen versuchen, ihre Spuren zu verwischen.