Banking Trojaner VBKlip mit neuer Domain-Browser-Entwicklungsstufe
Die VBKlip Malware tauchte erstmalig 2013 auf. Sie wurde von CERT Polska mit dem Ziel programmiert, die Daten von polnischen Online Banking Nutzern auszulesen. Der Trojaner setzte sich zu diesem Zweck in der Copy-and-Paste-Funktion von Windows fest und tauschte die kopierte IBAN Nummer im Domainbrowser eigenständig gegen einen vorgegebene IBAN aus.
Die Sicherheitsexperten von F5 Networks beschäftigen sich schon länger mit dieser Malware. Sie haben jetzt eine neue Version, eine sogenannte „Man in the Domain Browser“-Version des VBKlip Trojaners entdeckt und stellten fest, dass die Schadsoftware auf einer deutlich höheren Entwicklungsstufe arbeitet als zu Beginn.
Malware tauscht IBAN Nummer auf jeder Ebene aus
Ähnlich wie die Trojaner „Zeus“ und „Neverquest“ greift VBKlip neuerdings nicht mehr in die Copy and Paste Funktion ein, sondern setzt sich direkt im Domainbrowser fest und lädt folgende Dateien herunter: die ausführbare Datei wmc.exe und die Bibliotheksdatei Windows.sys. Über die infizierte Bibliotheksdatei baut der Trojaner Verbindungen auf unterschiedlichen Command-Ebenen auf, um anschließend die gesamte Schadsoftware in einzelnen Komponenten auf den PC zu laden.
Laut dem F5 Networks Forscherteam ist es ein schwieriger Prozess, die einzelnen Komponenten der Malware zu enttarnen und den Umfang der Hackerattacke zu erkennen. Die neuen Funktionen des VBKlip vermeiden jetzt den Umweg über Windows-Funktionen und verändern die IBAN-Nummer direkt in der Domain-Browser-Software. Durch eine Synchronisierung kann nun die IBAN jederzeit geändert werden. Die Schadsoftware arbeitet Browser-übergreifend und hackt sowohl die aktuellen Versionen des Internet Explorer als auch Chrome und Firefox-Browser.
Das Forscherteam vermutet, dass weitere Entwicklungsphasen des Trojaners folgen werden. Einen Schutz gegen diese Trojaner bieten nur gute Antiviren-Programme, die regelmäßig aktualisiert werden und das Beachten von grundlegenden Sicherheitsregeln beim Surfen in der Domainwelt.