Werbung
Schon seit einigen Jahren hält der Banking-Trojaner Dridex, welcher über ein international aufgebautes Botnet verbreitet wird, Sicherheits- und Strafverfolgungsbehörden weltweit auf Trab. Obwohl dem FBI in Zusammenarbeit mit der britischen National Crime Agency (NCA) im Oktober ein Schlag gegen das Botnet gelang und die mutmaßlich in Osteuropa betriebenen Command-and-Control-Server (C&C), welche die Kommunikation mit den infizierten PCs übernehmen, aufgespürt und deaktiviert wurden, kam das Netz kurzzeitig zum Erliegen. Das FBI konnte den Datenverkehr zwischen den verseuchten PCs und den C&C-Servern umleiten, sodass die Kriminellen keinen Kontakt mehr zu ihrem Trojaner hatten, sich die Software aber noch immer auf den infizierten Computern befand. Gleiches passierte als die Polizei in Zypern den mutmaßlichen Drahtzieher Andrey Ghinkul alias „Smilex“ festgenommen hatte und seitdem auf dessen Auslieferung in die USA wartet. Seit einigen Wochen verzeichnen Sicherheitsforscher allerdings wieder eine verstärkte Aktivität des Botnet.
Der Dridex-Trojaner richtet sich ausschließlich gegen Windows-Rechner und verbreitet sich meist über Phishing-Mails mit infizierten Word-Dateianhängen. In diesen sind verschiedene Makros enthalten, die die Schadsoftware automatisch im Hintergrund herunterladen und installieren. Ist der Rechner infiziert, versucht er die Schadsoftware nicht nur weiter zu verbreiten, sondern schneidet auch Anmeldedaten, Cookies, Zertifikate und vertrauliche Zugangsinformationen mit, um später Geld über gekaperte Konten an seine Programmierer zu überweisen. Schätzungen zufolge soll Dridex in den letzten Jahren allein in Deutschland und den USA einen Schaden in Höhe von rund 10 Millionen US-Dollar verursacht haben. Das Botnet agiert weltweit – ein Großteil der infizierten Bot-Systeme steht in den USA, Frankreich und auf den Philippinen.
Dridex lädt nun Avira-Installer herunter
Vermutlich wurde das Botnet nun aber selbst Opfer eines Hackerangriffs. Denn wie Sicherheitsforscher heute herausfanden, wurden die infizierten Word-Dateien so umgeschrieben, dass sie nicht mehr die Schadsoftware herunterladen, sondern eine validierte Version des Antivirenprogramms von Avira. Wer hinter dieser Aktion steckt, ist nicht bekannt. Avira selbst geht davon aus, dass es sich um die Arbeit eines sogenannten Whitehat-Hackers handeln könnte, welcher die selbe Schwachstelle für sich nutzt, den bösartigen Schadcode aber gegen den Avira-Installer ausgetauscht hat. Auch wenn er den eigentlichen Hackern damit die Arbeit erschwert und theoretisch für mehr Sicherheit sorgt, sind solche Aktivitäten in vielen Ländern illegal, weshalb Whitehat-Hacker ihre Identität ebenfalls verschleiern und unbekannt bleiben möchten.
Der Kampf im Internet ist allgegenwertig, selbst böse Hacker müssen mit Gegenangriffen anderer rechnen und nicht nur die der Strafverfolgungsbehörden.