Brolux: Trojaner greift japanische Onlinebanking-Nutzer an

Ein Banking-Trojaner macht derzeit japanischen Onlinebanking-Nutzern das Leben schwer. Dabei ist er ziemlich einfach gestrickt und nutzt mindestens zwei bereits bekannte Sicherheitslücken aus: Zum einen eine Schwachstelle im Flash Player (CVE-2015-5119), die im Zuge des Hacking Team Hacks Mitte dieses Jahres an die Öffentlichkeit gelangte und zum anderen den sogenannte Unicorn Bug – eine Schwachstelle im Internet Explorer (CVE-2014-6332), die bereits Ende 2014 entdeckt wurde. Die beiden entsprechenden Exploits werden über eine Webseite mit pornografischen Inhalten verbreitet und versuchen, auf den Rechnern ihrer Opfer schädlichen Code einzuschleusen, der es auf persönliche Informationen abgesehen hat. ESET erkennt den Schädling als Win32/Brolux.A. Die Art der Verbreitung erinnert stark an einen anderen Banking-Trojaner, der es auf japanische Finanzinstitutionen abgesehen hat: Win32/Aibatook.

Infizierung über Webseiten mit pornografischen Inhalten

Ruft ein Nutzer eine der betroffenen pornografischen Webseiten auf, startet ein Exploit, der entweder den Internet Explorer oder aber den Flash Player anzugreifen versucht. Wie bereits erwähnt, werden hierfür bereits bekannte Schwachstellen ausgenutzt, was allen Usern eine Mahnung sein sollte, stets auf die Aktualität der verwendeten Software und Programme zu achten. Für die Schwachstelle im Internet Explorer existiert schon seit einiger Zeit ein Proof-of-Concept-Code, welcher auch in dieser Kampagne in leicht modifizierter Form genutzt wird.

Ähnliches gilt für die Schwachstelle im Flash Player. Ein entsprechender Exploit wurde während der Analyse des Vorfalls bei Hacking Team veröffentlicht. Obwohl diese Schwachstellen auch in großen Exploit Kits eingesetzt werden, gehen wir nicht davon aus, dass eines dieser Kits in der Kampagne genutzt wurde. Dagegen spricht, dass der Exploit selbst über keinerlei Tarnmechanismus verfügt und somit leicht zu analysieren war. Das ist bei Exploits, die in bekannten Kits genutzt werden, in der Regel anders. Wie der folgende Screenshot zeigt, scheint die kompromittierende Webseite nur Videos von anderen legitimen pornografischen Webseiten zu klauben. Hier weiterlesen.

Quelle: http://www.welivesecurity.com/deutsch/2015/10/15/brolux-trojaner-greift-japanische-onlinebanking-nutzer-an/


<- Zur Übersicht