Banking-Trojaner hat umgeschult

Der Banking-Trojaner Terdot, der ursprünglich auf Online-Banking und Zahlungsvorgänge abzielte, feiert offenbar sein Comeback als Instrument zum Diebstahl von Daten und Anmeldeinformationen. Die Malware kann unter anderem durch einen Man-in-the-Middle-Proxy sensible Daten aus dem gesamten Internet-Verkehr eines Users filtern und weiterleiten.

Die Malware Terdot greift Zugangsdaten unter anderem zu Social-Media-Konten ab.

Zudem ist es Terdot möglich, Browser-Informationen wie Login-Daten und Kreditkarteninformationen zu stehlen und HTML-Code in besuchte Webseiten zu injizieren. Die Schadsoftware kann weiterhin den Datenverkehr auf zahlreichen Social-Media- und E-Mail-Plattformen modifizieren. Und: Automatisierte Update-Fähigkeiten ermöglichen es ihm, jedwede Art von Datei herunterzuladen und auszuführen, sobald der Angreifer dies will.



Schon die ersten Schritte einer Terdot-Attacke sind hochkomplex: Um den schädlichen Payload zu schützen, nutzt Terdot eine Kette von Droppers, Injections und Downloaders, bevor er die eigentlichen Terdot-Dateien auf die Festplatte lädt. Interessant ist ebenfalls, dass Terdot – genauso wie Netrepser – lieber legitime Applikationen missbraucht, als selbstentwickelte Spezialtools zu verwenden.



Die bekannten Beispiele von Terdot zielen, neben einer Liste von Banking-Webseiten, die vor allem kanadische Finanzinstitute enthält, auf Informationen von E-Mail Service Providern ab, zum Beispiel Microsofts live.com, Yahoo Mail und Gmail. Unter den sozialen Netzwerken werden Facebook, Twitter, Google Plus und YouTube attackiert. Überraschenderweise ist die Malware ausdrücklich so gestaltet, dass sie keine Daten von vk.com sammelt, dem größten russischen sozialen Netzwerk.



Terdot wurde erkennbar von der Malware Zeus inspiriert, deren Quellcode im Jahr 2011 öffentlich wurde. Ein aktuell veröffentlichtes Whitepaper von Bitdefender [1] zeichnet detailliert nach, wie der Trojaner entstanden ist, wie er sich ausbreitet und tarnt, was er an Fähigkeiten heute besitzt und wie er sich noch entwickeln könnte.