Kriminelles Schweizer Taschenmesser:
Kein Passwort ist vor ihm sicher: Der Datenräuber Zeus

von Werner Veith (werner.veith@networkcomputing.de)

Share
14.04.2010

Der Trojaner »Zeus« hat sich zu einem ausgereiften Tool für den Diebstahl von Daten entwickelt. Seine Beliebtheit unter den Kriminellen zeigt sich auch an seiner Vielfalt: Es gibt mehrere Hunderttausend Spielarten des Räubers.

(Fortsetzung des Artikels von Seite 1)

Auch in der kriminellen Welt gelten die Gesetze für den Erfolg von Software: Davon zeugt auch der Trojaner »Zeus«, wie ein White-Paper [1] von Kaspersky Lab beschreibt. Er ist »sehr einfach zu konfigurieren und sehr bequem zum Datendiebstahl einzusetzen«. Den Trojaner gibt es nun seit 2007. Inzwischen existieren wohl um mehrere Hunderttausend Spielarten des gefährlichen Tools. Für seine Beutezüge verfügt die Software über verschiedene Methoden, um an Passwörter von Anwendern zu kommen. Dabei schützen den Anwender auch keine virtuellen Tastaturen, die der Anwender per Maus bedient. Das System macht einfach Screenshots im Bereich des Mausklicks.

Mit dem Trojaner »Zeus« haben Internet-Kriminelle eine sehr scharfe Waffe im Gepäck.

Sehr raffiniert ist die Software auch, um Nutzer persönliche Daten wie PINs zu entlocken. So kann das Tool auf Online-Banking-Webseiten eigenen Code einschleusen, bevor die Seite auf dem Rechner dargestellt wird. Entsprechende URLs sind dafür in der Konfigurationsdatei hinterlegt.

Code-Injection nutzt Zeus, um etwa zusätzliche Abfragefelder wie nach dem PIN-Code der Bankkarte einzubinden. Gibt der Nutzer neben den von der Website geforderten Daten, auch die PIN ein, übertragt Zeus sie zum kriminellen Auftraggeber. Für den Anwender ist dieser Angriff schwer zu unterscheiden, da er sich ja auf der Website seines Institutes weiß.

Um an Passwörter zu kommen, bringt Zeus auch einen Key-Logger mit. Um dies zu verhindern, verwenden Website eine virtuelle Tastatur. Um auch hier die Anwenderdaten zu erfassen, macht das Tool bei jedem Klick mit der linken Maus einen Screenshot.

5079 Varianten in einem einzigen Monat

Speichert der Anwender seine Passwörter irgendwo auf dem Rechner, dann findet sie der Trojaner auch. So erkennt die Software Passwörter, die das System abgelegt hat, weil der Nutzer etwa das Häkchen »Passwort speichern« gesetzt hat.

Zeus klaut aber auch Zertifikate. Bestimmte Websites erstellen diese, wenn sich der Nutzer das erste Mal registriert. Kehrt er dann wieder zurück, wird er über das Zertifikat als persönliche Signatur identifiziert.

Daneben ist Zeus natürlich eine universelle Plattform für weitere kriminelle Aktivitäten wie dem Versand von Spam. Die nötigen Programme kann der Besitzer des Botnets über Zeus installieren.

Als Zeus zunächst sein Werk aufnahm, hat ihn nur sein Entwickler verbreitet. Dieser hörte Mitte des Jahres 2007 damit auf. Stattdessen übernehmen andere Kriminelle die Verbreitung. Sie verwenden dafür einen Zeus-Baukasten. Damit beginnt die Zahl der Modifikationen anzusteigen.

Mit Beginn der Wirtschaftskrise in 2008 steigt die Anzahl der Variationen deutlich an. Kaspersky erklärt sich das damit, dass arbeitslose Programmier auf die schiefe Bahn geraten. Absoluter Höhepunkt von Zeus ist der Mai 2009: Es erscheinen in diesem Monat 5079 Varianten.

Ein Redesign des Trojaners Anfang 2009 erschwert dessen Erkennung. Die Verschlüsselungsalgorithmen dagegen sind nun deutlich besser. Außerdem wechselt das Tool ständig sein Aussehen. Die Aktualisierungen kommen über unterschiedliche Webadressen.

[1] http://www.viruslist.com/de/analysis?pubid=200883691

Verwandte Artikel