Manipulierte Suchergebnisse verbreiten Banking-Trojaner
Dank der Aufklärungsarbeit der vergangenen Jahre sind die Anwender beim Umgang mit Dateianhängen erheblich vorsichtiger geworden. Dazu beigetragen hat sicherlich auch die umfassende Berichterstattung über Ransomware, die in erster Linie per E-Mail verbreitet wird.
Nun gibt es Anzeichen, dass die Kriminellen neue Vertriebskanäle für ihre Malware suchen und dabei mit der Manipulation von Suchmaschinen-Ergebnissen experimentieren. Die Sicherheitsforscher von Cisco Talos beschreiben in einem Blog-Beitrag, wie kriminelle Hacker per Search Engine Optimization (SEO) die Rankings von Google beeinflussten, um die Benutzer auf von ihnen kontrollierte Server zu lenken. Dort wartete ein Word-Dokument auf sie, über dessen Makros der Banking-Trojaner ZeuS Panda übertragen wurde.
Anwender helfen mit
Die Hacker optimierten ihre Server beispielsweise für Suchanfragen wie „nordea sweden bank account number“ oder „free online books for bank clerk exam“. Zusätzlich waren den Webseiten auf diesen Servern Titel zugewiesen, die um Sätze wie „found download to on a forum“ oder „can you download free on the site“ ergänzt worden waren. Folgte der Anwender einem der Links, die von der Trefferliste der Suchmaschine auf diese Seiten verwiesen, so trat ein Javascript-Code in Aktion, der ihn zunächst auf zwei weitere Seiten führte und schließlich den Download der Word-Datei auslöste.
Anschließend erhielt er eine Meldung mit dem Inhalt „This document created in earlier version of Microsoft Office Word“. Darunter stand „To view this content, please click ‚Enable editing‘ at the top yellow bar, and then click ‚Enable content‘“. Diese Meldung war gefälscht und stammte nicht von Word, sondern wurde von den Hackern als Bild eingefügt.
Sobald der Anwender nun in der gelben Leiste mit der Sicherheitswarnung auf „Enable content“ beziehungsweise, in der deutschen Version, auf „Inhalt aktivieren“ klickte, wurde das Makro gestartet, dass den Virus als EXE-Datei herunterlud, im Temp-Ordner speicherte und ausführte. Wie der bereits seit längerem bekannte Trojaner ZeuS Panda anschließend vorgeht und was ihn so gefährlich macht, erklärt ein Blog-Beitrag des Antiviren-Spezialisten G-Data.