Trojaner: Der Banking-Trojaner Trickbot hat neue Tricks gelernt

Vor zwei Jahren hatte es Trickbot nur auf Bankdaten abgesehen. Nun ist eine neue Variante des Trojaners im Umlauf, die auch Passwörter aus anderen Anwendungen abgreifen kann.

Artikel veröffentlicht am , Anna Biselli
Der Banking-Trojaner Trickbot kann jetzt auch Passwörter aus Browsern auslesen
Der Banking-Trojaner Trickbot kann jetzt auch Passwörter aus Browsern auslesen (Bild: unsplash.com/FancyCrave)

Der Banking-Trojaner Trickbot ist seit seiner Entdeckung im Jahr 2016 ständig erweitert worden. Nun hat es die Schadsoftware offenbar nicht mehr nur auf die Bankdaten seiner Opfer abgesehen: Sicherheitsforscher von Fortinet und Trend Micro haben eine neue Variante analysiert, die Passwörter und Anmeldedaten aus Browsern und anderen Anwendungen wie Filezilla und Microsoft Outlook extrahieren kann.

Stellenmarkt
  1. Doktorand*in (d/m/w) Process Mining
    OSRAM GmbH, Regensburg
  2. Gruppenleiter (m/w/d) Produktrealisierung Leben
    VPV Versicherungen, Stuttgart
Detailsuche

Die Malware kommt in Gestalt eines Excel-Dokumentes, das vorgibt, mit einer älteren Version der Software erstellt worden zu sein. Es fordert den Betrachter dazu auf, "Enable Content" zu aktivieren. Folgt der Nutzer der Aufforderung, können Makros ausgeführt werden und Trickbot wird im Hintergrund heruntergeladen und installiert sich selbst. Laut Fortinet lädt Trickbot nach einer Weile ein anderes Modul nach, indem es eine Anfrage an den Command-and-Control-Server der Angreifer stellt.

Dieses neue Modul heißt pwgrab und soll im Oktober erstellt worden sein. Es kann nicht nur Passwörter und Anmeldedaten extrahieren und an die Angreiferdaten senden. Laut Trend Micro liest es auch Cookies, die Browser-History und Autofill-Informationen aus Browsern aus und sendet sie an die Angreifer zurück. Betroffen sind Internet Explorer, Firefox, Chrome und Edge.

Trickbot kommt auch Huckepack mit anderer Schadsoftware

Andere, bereits zuvor bekannte Module von Trickbot sammeln unter anderem Mail-Adressen vom System der Betroffenen, um sie in Spam-Kampagnen zu nutzen oder Bankdaten abzugreifen. Dabei überwacht Trickbot, ob ein Nutzer die Website einer Bank aufrufen will. Von diesem Trick sind auch deutsche Nutzer potenziell betroffen, denn auf der Liste der Trickbot bekannten Bank-Websites findet sich laut Trend Micro unter anderem die Sparda-Bank.

Golem Karrierewelt
  1. Container Management und Orchestrierung: virtueller Drei-Tage-Workshop
    22.-24.08.2022, Virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    09./10.06.2022, virtuell
Weitere IT-Trainings

Trickbot verbreitet sich vor allem über massenhaft versendete Mails mit der schädlichen Excel-Datei im Anhang. Alternativ dient auch andere Schadsoftware Trickbot als Vehikel, vor allem der Banking-Trojaner Emotet. Laut Sicherheitsforschern des Sicherheitssoftware-Unternehmens Eset startete am 5. November eine neue Welle vom Spam-Mails mit Emotet im Anhang. Teilweise seien diese Mails auch in perfektem Deutsch formuliert und als Rechnungen oder Mails von Geschäftspartnern getarnt, berichtete heise.de.

Der Schutz vor beiden Schadsoftwares ist einfach, selbst wenn noch nicht alle Virenscanner sie erkennen: Skepsis bei Mail-Anhängen, auch wenn sie auf den ersten Blick legitim erscheinen mögen. Erst recht, wenn die Dokumente beim Öffnen dazu auffordern, Makros zu benutzen. Verweigert man das, bleiben Trickbot und Emotet machtlos.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


M.P. 14. Nov 2018

Dies Macros gibt es (glücklicherweise) auch in Libre Office, die können aber im...

M.P. 13. Nov 2018

Office Dokument, Macros .... pah ...



Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Erster Einsatz einer US-Kamikazedrohne dokumentiert

Eine Switchblade-Drohne hat offenbar einen russischen Panzer getroffen. Dessen Besatzung soll sich auf dem Turm mit Alkohol vergnügt haben.

Ukrainekrieg: Erster Einsatz einer US-Kamikazedrohne dokumentiert
Artikel
  1. Retro Computing: Lotus 1-2-3 auf Linux portiert
    Retro Computing
    Lotus 1-2-3 auf Linux portiert

    Das Tape-Archiv eines BBS mit Schwarzkopien aus den 90ern lädt Google-Entwickler Tavis Ormandy zum Retro-Hacking ein.

  2. Übernahme: Twitter zahlt Millionenstrafe und Musk schichtet um
    Übernahme
    Twitter zahlt Millionenstrafe und Musk schichtet um

    Die US-Regierung sieht Twitter als Wiederholungstäter bei Datenschutzverstößen und Elon Musk will sich das Geld für die Übernahme nun anders besorgen.

  3. Heimnetze: Die Masche mit dem Nachbarn
    Heimnetze
    Die Masche mit dem Nachbarn

    Heimnetze sind Inseln mit einer schmalen und einsamen Anbindung zum Internet. Warum eine Öffnung dieser strengen Isolation sinnvoll ist.
    Von Jochen Demmer

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Mindstar (u. a. Palit RTX 3050 Dual 319€, MSI MPG X570 Gaming Plus 119€ und be quiet! Shadow Rock Slim 2 29€) • Days of Play (u. a. PS5-Controller 49,99€) • Viewsonic-Monitore günstiger • Alternate (u. a. Razer Tetra 12€) • Marvel's Avengers PS4 9,99€ • Sharkoon Light² 200 21,99€ [Werbung]
    •  /