Trojaner: Der Banking-Trojaner Trickbot hat neue Tricks gelernt

Vor zwei Jahren hatte es Trickbot nur auf Bankdaten abgesehen. Nun ist eine neue Variante des Trojaners im Umlauf, die auch Passwörter aus anderen Anwendungen abgreifen kann.

Artikel veröffentlicht am , Anna Biselli
Der Banking-Trojaner Trickbot kann jetzt auch Passwörter aus Browsern auslesen
Der Banking-Trojaner Trickbot kann jetzt auch Passwörter aus Browsern auslesen (Bild: unsplash.com/FancyCrave)

Der Banking-Trojaner Trickbot ist seit seiner Entdeckung im Jahr 2016 ständig erweitert worden. Nun hat es die Schadsoftware offenbar nicht mehr nur auf die Bankdaten seiner Opfer abgesehen: Sicherheitsforscher von Fortinet und Trend Micro haben eine neue Variante analysiert, die Passwörter und Anmeldedaten aus Browsern und anderen Anwendungen wie Filezilla und Microsoft Outlook extrahieren kann.

Stellenmarkt
  1. Mitarbeiter für Konzeption und Qualitätssicherung (m/w/d)
    ADG Apotheken-Dienstleistungsgesellschaft mbH, Ludwigsburg, Fürth
  2. Defence Spezialist (m/w/d) Informationssicherheit
    Landwirtschaftliche Rentenbank, Frankfurt am Main
Detailsuche

Die Malware kommt in Gestalt eines Excel-Dokumentes, das vorgibt, mit einer älteren Version der Software erstellt worden zu sein. Es fordert den Betrachter dazu auf, "Enable Content" zu aktivieren. Folgt der Nutzer der Aufforderung, können Makros ausgeführt werden und Trickbot wird im Hintergrund heruntergeladen und installiert sich selbst. Laut Fortinet lädt Trickbot nach einer Weile ein anderes Modul nach, indem es eine Anfrage an den Command-and-Control-Server der Angreifer stellt.

Dieses neue Modul heißt pwgrab und soll im Oktober erstellt worden sein. Es kann nicht nur Passwörter und Anmeldedaten extrahieren und an die Angreiferdaten senden. Laut Trend Micro liest es auch Cookies, die Browser-History und Autofill-Informationen aus Browsern aus und sendet sie an die Angreifer zurück. Betroffen sind Internet Explorer, Firefox, Chrome und Edge.

Trickbot kommt auch Huckepack mit anderer Schadsoftware

Andere, bereits zuvor bekannte Module von Trickbot sammeln unter anderem Mail-Adressen vom System der Betroffenen, um sie in Spam-Kampagnen zu nutzen oder Bankdaten abzugreifen. Dabei überwacht Trickbot, ob ein Nutzer die Website einer Bank aufrufen will. Von diesem Trick sind auch deutsche Nutzer potenziell betroffen, denn auf der Liste der Trickbot bekannten Bank-Websites findet sich laut Trend Micro unter anderem die Sparda-Bank.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Trickbot verbreitet sich vor allem über massenhaft versendete Mails mit der schädlichen Excel-Datei im Anhang. Alternativ dient auch andere Schadsoftware Trickbot als Vehikel, vor allem der Banking-Trojaner Emotet. Laut Sicherheitsforschern des Sicherheitssoftware-Unternehmens Eset startete am 5. November eine neue Welle vom Spam-Mails mit Emotet im Anhang. Teilweise seien diese Mails auch in perfektem Deutsch formuliert und als Rechnungen oder Mails von Geschäftspartnern getarnt, berichtete heise.de.

Der Schutz vor beiden Schadsoftwares ist einfach, selbst wenn noch nicht alle Virenscanner sie erkennen: Skepsis bei Mail-Anhängen, auch wenn sie auf den ersten Blick legitim erscheinen mögen. Erst recht, wenn die Dokumente beim Öffnen dazu auffordern, Makros zu benutzen. Verweigert man das, bleiben Trickbot und Emotet machtlos.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Aktuell auf der Startseite von Golem.de
Oberleitungs-Lkw
Herr Gramkow will möglichst weit elektrisch fahren

Seit anderthalb Jahren fährt ein Lkw auf der A1 elektrisch an einer Oberleitung. Wir haben die Spedition besucht, die ihn einsetzt.
Ein Bericht von Werner Pluta

Oberleitungs-Lkw: Herr Gramkow will möglichst weit elektrisch fahren
Artikel
  1. Star Trek: Playmobil bringt 1 Meter langes Enterprise-Spielset
    Star Trek
    Playmobil bringt 1 Meter langes Enterprise-Spielset

    Star Treks klassische Enterprise NCC-1701 kommt mit den Hauptcharakteren, Phasern und Tribbles sowie einem Standfuß und einer Deckenhalterung.

  2. Wettbewerb: EU soll Untersuchung von Googles Werbegeschäft planen
    Wettbewerb
    EU soll Untersuchung von Googles Werbegeschäft planen

    Die EU-Kommission lässt Google keine Pause: Als Nächstes soll das Werbegeschäft genau auf Wettbewerbseinschränkungen untersucht werden.

  3. Akkutechnik und E-Mobilität: Natrium-Ionen-Akkus werden echte Lithium-Alternative
    Akkutechnik und E-Mobilität
    Natrium-Ionen-Akkus werden echte Lithium-Alternative

    Faradion und der Tesla-Zulieferer CATL produzieren erste Natrium-Ionen-Akkus mit der Energiedichte von LFP. Sie sind kälteresistenter, sicherer und lithiumfrei.
    Von Frank Wunderlich-Pfeiffer

Kommentarübersicht
Re: Macros? Kann man die essen?
M.P. 14. Nov 2018

Dies Macros gibt es (glücklicherweise) auch in Libre Office, die können aber im...

Doch wohl eher alter Wein in neuen Schläuchen
M.P. 13. Nov 2018

Office Dokument, Macros .... pah ...

Folgen Sie uns
       
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Orange Week bei Cyberport mit bis zu -70% • MSI Optix G32CQ4DE 335,99€ • XXL-Sale bei Alternate • Enermax ETS-F40-FS ARGB 32,99€ • Prime-Filme leihen für je 0,99€ • GP Anniversary Sale - Teil 4: Indie & Arcade • Saturn Weekend Deals • Ebay: 10% auf Gaming-Produkte [Werbung]
    Mehr Infos
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /