Der Bank-Trojaner Zeus steht jetzt auch für 64-Bit Browser zur Verfügung. Außerdem besitzt er nun auch eine Integration des Anonymisierungsnetzes TOR.  

Zeus manipuliert die Web-Seiten der Bank. Analysten von Kaspersky beobachteten ihn dabei, wie er in das Login-Formular eine zusätzliche JavaScript-Funktion einbaute, die unter anderem die verwendeten Zugangsdaten an die Betrüger weiter leitete. Wozu eine 64-Bit Version jedoch benötigt wird  ist unklar da nicht einmal 1 Prozent der weltweiten Nutzer die 64-Bit Version von IE verwenden. Selbst unter Windows 8.1 läuft der Internet Explorer noch im 32-Bit Modus.

 

Zusätzlich zur 64-Bit Version bietet Zeus nun die Integration ins Anonymisierungsnetz TOR. So startet der Trojaner heimlich im Hintergrund einen lokalen TOR-Proxy. Alle Abrufe von Web-Seiten, die darüber erfolgen, werden über das TOR-Netz geleitet und lassen sich somit vom Web-Server aus nicht zurückverfolgen. So liefert Zeus dann auch ausspionierte Login-Daten bei einem Tor Hidden Service ab, der sich hinter der Onion-Adresse egzh3ktnywjwabxb.onionverbirgt. Anders als herkömmliche Command&Control-Server dürfte es schwer werden, solche Onion-C&Cs aufzuspüren und still zu legen. Darüber hinaus bieten kompromittierte PCs auch selbst einen versteckten TOR-Dienst an, dessen Adresse sie ihrem Herrn und Meister mitteilen, sodass dieser seine Zombies dann anonym via TOR fernsteuern kann.

Übrigens zeigt die Analyse auch, dass bei einem Trojaner-Befall keineswegs nur das Online-Banking gefährdet ist. Die Gauner nehmen mit, was sie kriegen können. Unter anderem überwachen sie dazu eine ganze Reihe von Prozessen, denen sie Zugangsdaten, Zertifikate und ähnliches klauen. Neben Bitcoin-Wallets finden sich auch Filezilla, WinSCP, Putty und OpenVPN auf der Liste der ausspionierten Programme.

 

[facebook_like_button]