Pünktlich zur Pandemie ist der Zeus Sphinx Banking Trojaner von den Toten zurückgekehrt

Zeus Sphinx ist offiziell zurück. Der Bankentrojaner, auch als Terdot bekannt, erlangte vor einigen Jahren Schande, als seine Betreiber clevere Verteilungsmethoden verwendeten, um die Malware zu verbreiten und die Passwörter der Leute zu stehlen. Damals erklärten Sicherheitsforscher, wie die Malware-Betreiber nicht nur Anmeldedaten für Finanzinstitute herausfiltern, sondern auch versuchen, die Social-Media-Konten der Opfer zu entführen und sie als Verbreitungsinstrument zu nutzen. Irgendwann hörten sie jedoch plötzlich auf, es zu verteilen. Jetzt haben sie sich wieder dem Thema zugewandt, und wenn Sie sehen, wie es funktioniert, fragen Sie sich möglicherweise, warum sie es überhaupt aufgegeben haben.

Zeus Sphinx brauchte kein großes Update

Die neue Welle von Zeus-Sphinx-Infektionen wurde von Forschern von IBM entdeckt. Die ersten Anzeichen eines Comebacks zeigten sich bereits im Dezember, aber im März stieg die Zahl der Opfer deutlich an. Die Experten von IBM haben eines der abgefangenen Beispiele analysiert und festgestellt, dass die Funktionsweise der Malware nicht wirklich aktualisiert wurde.

Die aktuelle Kampagne basiert auf schädlichen Microsoft Office-Dokumenten, die als Downloader für die Nutzdaten dienen. Die Datei enthält Makroanweisungen, die einen neuen Ordner auf dem Systemlaufwerk des PCs erstellen und eine Batchdatei darin ablegen. Es wird eine neue VBS-Datei erstellt, die mithilfe des Prozesses WScript.exe eine Verbindung zum Command & Control-Server (C & C) herstellt und die Nutzdaten in Form einer DLL herunterlädt. Nach der Bereitstellung fügt Zeus Sphinx einen neuen Registrierungsschlüssel hinzu, um die Persistenz zu gewährleisten und die Finanzdaten von Personen zu stehlen.

Wie der Name schon sagt, basiert Zeus Sphinx auf Zeus - einer der berüchtigtsten Malware-Familien dieses Typs. Der Trojaner stiehlt mithilfe von Webinjektionen Benutzernamen und Passwörter. Immer wenn festgestellt wird, dass der Benutzer die Website seiner Bank besucht, gibt Zeus Sphinx Code ein und sendet Anmeldeinformationen und Zwei-Faktor-Authentifizierungscodes an die Gauner. Das Schlimmste an dieser Technik ist, dass der Benutzer nicht wissen kann, dass etwas nicht stimmt. Aber wie wahrscheinlich ist es, dass sie ihre Systeme überhaupt mit Zeus Sphinx infizieren?

Zeus Sphinx nutzt die COVID-19-Pandemie, um mehr Menschen zu erreichen

Wie Sie wahrscheinlich bereits wissen, haben Cyberkriminelle in den letzten Monaten verschiedene Social-Engineering-Techniken eingesetzt, um die Angst vor der aktuellen Coronavirus-Pandemie auszunutzen, und die Menschen, die Zeus Sphinx vertreiben, haben sich für einen ähnlichen Ansatz entschieden.

Die böswilligen Office-Dokumente kommen auf der Rückseite von E-Mails mit Betreff an, die "COVID-19 Payment" lauten. In dem Beispiel, das IBM uns gezeigt hat, heißt es in der Nachricht, dass Justin Trudeau, Kanadas Premierminister, jedem Einzelnen eine Auszeichnung in Höhe von 2.500 US-Dollar zugestimmt hat von seinen Mitkanadiern, die beschlossen haben, während der Coronavirus-Pandemie zu Hause zu bleiben. Um es zu beanspruchen, muss der Benutzer das angehängte Dokument öffnen und ausfüllen.

Es sollte nicht wirklich überraschen, dass die Betreiber von Zeus Sphinx wie so viele andere Cyberkriminelle versuchen, sich auf die Panik um COVID-19 zu verlassen. Ein bisschen schockierend ist jedoch, dass es immer noch Menschen gibt, die auf diesen speziellen Betrug hereinfallen könnten.

Selbst wenn Sie davon überzeugt sind, dass Sie dieses Schema vermeiden können, gibt es viele andere, die viel glaubwürdiger sind. Stellen Sie sicher, dass Sie alles, was Sie in Ihrem Posteingang finden, mit einer Prise Salz nehmen, insbesondere wenn es von jemandem gesendet wurde, den Sie nicht kennen.