Diese Malware kann auf Ihr Bankkonto zugreifen, wenn Sie sich verpflichten

Eine Gruppe russischsprachiger Cyberkrimineller wurde dabei beobachtet, wie sie leistungsstarke, Informationen stehlende Malware mit Domains mit Tippfehlern kombinierten, um Anmeldedaten für Banking-Websites zu stehlen (wird in einem neuen Tab geöffnet). Die Kampagne wurde von den Cybersicherheitsexperten Hold Security entdeckt und von KrebsOnSecurity gemeldet.

Dem Bericht zufolge zielt die als The Disneyland Team bekannte Gruppe auf Personen ab, die mit einer mächtigen Banking-Malware namens Gozi 2.0 (auch bekannt als Ursnif) infiziert sind, die Computerdaten stehlen, Benutzer-IDs und Finanzinformationen sammeln und zusätzliche Malware einsetzen kann.

Aber Gozi allein wird nicht mehr ausreichen, da die Browserhersteller im Laufe der Jahre verschiedene Sicherheitsmaßnahmen eingeführt haben, um dies zu verweigern. Aber hier kommt Typequatting ins Spiel: das Erstellen von Phishing-Websites mit Domänennamen, die auf legitimen Websites häufig falsch geschrieben werden.

Jüdischer Gozi

Laut KrebsOnSecurity: „In früheren Jahren haben Betrüger wie diese benutzerdefinierte ‚Web-Injektionen' verwendet, um zu manipulieren, was Gozi-Opfer in ihren Webbrowsern sehen, wenn sie die Website ihrer Bank besuchen.

Diese könnten dann „alle Daten kopieren und/oder abfangen, die Benutzer in ein Webformular eingeben, wie z. B. einen Benutzernamen und ein Passwort. Die meisten Hersteller von Webbrowsern haben jedoch Jahre damit verbracht, Sicherheitsmaßnahmen hinzuzufügen, um diese schändlichen Aktivitäten zu blockieren."

Um Gozi zu verwenden, fügten die Angreifer also auch gefälschte Bankseiten auf Domains mit Tippfehlern hinzu. Beispiele für solche Domains sind ushank[.]com (ausgerichtet auf Personen, die usbank.com falsch schreiben) oder ạmeriprisẹ[.]com (ausgerichtet auf Personen, die ameriprise.com besuchen).

Sie werden kleine Punkte unter den Buchstaben a und e bemerken, und wenn Sie dachten, es wäre Staub auf Ihrem Bildschirm, wären Sie nicht der Erste, der darauf hereinfällt. Das sind aber keine Vorgaben, sondern kyrillische Buchstaben, die der Browser ins Lateinische übersetzt.

Wenn das Opfer diese gefälschten Bank-Websites besucht, überschneiden sie sich daher mit der Malware, die alles, was das Opfer eingibt, auf die Website der echten Bank überträgt, während sie eine Kopie für sich behält.

Wenn also die Website der echten Bank mit einer Anfrage nach Multi-Faktor-Authentifizierung (MFA) zurückkehrt, fordert die gefälschte Website diese ebenfalls an, wodurch die MFA nutzlos wird.

Über: KrebsOnSecurity (Öffnet in einem neuen Tab)

Teilen Sie es