„ChewBacca“-Trojaner nutzt Tor als Infrastruktur

18. Dezember 2013
Allgemeine Informationen, Viren-News

Tor-Netzwerk bietet Cyberkriminellen Anonymität und Sicherheit

Moskau/lngolstadt, 18. Dezember 2013 - Kaspersky Lab hat einen neuen Trojaner („ChewBacca“) entdeckt, bei dem Cyberkriminelle das anonyme Tor-Netzwerk für ihre C&C-Server-Infrastruktur (Command-and-Control) nutzen [1]. Auch wenn Tor nicht nur Vorteile bietet, scheint das Netzwerk bei Cyberkriminellen immer beliebter zu werden.

Ähnlich wie beispielsweise die aktuelle Variante des ZeuS-Trojaners [2], nutzt „ChewBacca“ das Tor-Netzwerk für seine Infrastruktur. Das ist bislang eher selten. Die Vorteile liegen jedoch auf der Hand: die verwendeten Server und die Betreiber bleiben anonym. Zudem wird die Sicherheit erhöht. Der Nachteil: Durch den langsameren Aufbau von Tor kann es zu Zeitüberschreitungen kommen.

„Tor in Schadsoftware einzubauen ist nicht einfach. Diese Hürde zu nehmen, bietet Vor- und Nachteile. Beispielsweise wird die Malware größer und dadurch komplexer“, erklärt Marco Preuss, Director Europe, Global Research & Analysis Team bei Kaspersky Lab.

„ChewBacca“ fungiert als Keylogger und stiehlt Dateien oder Informationen aus den Speichern von anderen Prozessen, die auf den Servern der Cyberkriminellen hochgeladen werden.

Die Malware wird als „Trojan.Win32.Fsysna.fej“ erkannt. Allerdings konnte Kaspersky Lab noch keine Infizierungen feststellen. Der Schädling wurde nach der Star-Wars-Figur Chewbacca benannt, da beim Login zu den im Tor-Netzwerk verwendeten C&C-Servern ein Hintergrundbild von Chewbacca aus der aktuellen Mashup-Serie „A Games of Clones“ verwendet wird [3].

Stabile Infrastruktur über Tor

Der C&C-Server baut auf eine einfache LAMP-Installation, die auf Linux, Apache, MySQL und PHP basiert. Die verwendeten PHP-Skripte enthalten die Funktionen des Servers, eines zum Hochladen der Keylogger-Dateien und eines zum Extrahieren der gewonnenen Speicherdaten.

„ChewBacca“ ist im Vergleich zur aktuellen ZeuS-Variante noch nicht öffentlich und wird lediglich in Untergrundforen angeboten. Der Schädling befindet sich wahrscheinlich noch in der Entwicklung oder er wird bisher „nur“ privat eingesetzt beziehungsweise verteilt.

Ein Blogbeitrag von Marco Preuss, Director Europe, Global Research & Analysis Team bei Kaspersky Lab, mit allen technischen Details ist auf Deutsch unter http://www.viruslist.com/de/weblog?weblogid=207320004 und auf Englisch hier http://www.securelist.com/en/blog/208214185/ChewBacca_a_new_episode_of_Tor_based_Malware abrufbar.



[1] http://www.viruslist.com/de/weblog?weblogid=207320004 oder auf Englisch http://www.securelist.com/en/blog/208214185/ChewBacca_a_new_episode_of_Tor_based_Malware

[2] Siehe auch http://www.securelist.com/en/blog/208214171/The_inevitable_move_64_bit_ZeuS_has_come_enhanced_with_Tor

[3] http://www.mylittlegeek.com/game-of-clones.php



Nützliche Links:

 Share this page