Phishing-Trojaner im Tarn-Modus

Websense meldet einen neuen Phishing-Trojaner, der nach Angaben des Sicherheitsunternehmens in neuartiger Weise seine Aktivität verschleiert. Auf einem infizierten System installiert sich der Trojaner als Internet Explorer Browser Helper Object (BHO) und greift so sensible Informationen ab, die beispielsweise beim Online-Banking eingegeben werden. Neuartig bei dem Spyware-Trojaner ist aber die Art und Weise der Übermittlung der ausspionierten Informationen an den Server der Angreifer, erklärt Websense: Während Trojaner üblicherweise Informationen per E-Mail oder HTTP POST übermitteln, verschlüssle diese Malware die Daten mit einem einfachen XOR-Algorithmus und verstecke sie in ICMP-Ping-Pakete. Für Netzwerk-Administratoren und Filter würden diese ICMP-Pakete wie legitimer Netzwerk-Traffic aussehen. ICMP (Internet Control Message Protocol) ist ein Protokoll, das Statusinformationen und Fehlermeldungen von IP-Protokollen übermittelt.

Websense machte keine Angaben darüber, ob der noch unbenannte Trojaner, der dem Sicherheitsunternehmen in einer Beispiel-Variante zugespielt wurde, schon in freier Wildbahn eine Gefährdung darstellt. Auch über eine mögliche Infektions-Methode - als E-Mail-Anhang oder über infizierte Webseiten - liefert Websense keine Informationen. Websense berichtet, man habe in einem Angriffs-Szenario eine Workstation mit dem Trojaner infiziert. Nach der Eingabe von Konto-Informationen auf einer SSL-geschützten Webseite der Deutschen Bank habe der Trojaner dann via Ping die verschlüsselten Informationen an einen Remote-Server verschickt.