January 14, 2013 | News

Apache-Malware bedroht europäische und russische Banken

Die Virenforscher von EZ haben einen Apache-Virus namens Linux/Chapro.A entdeckt. Apache Webserver zählt zu der weltweit populärsten HTTP-Server-Software, die für mehr als der Hälfte aller aktiven Webseiten eingesetzt wird.

Apache-Malware bedroht europäische und russische BankenDie primäre Aufgabe des Schädlings besteht im Einfügen von Schadcode in Webseiten, die auf einem infizierten Webserver mit Apache-Software laufen. Obwohl der Schädling praktisch jede Art von Information verwenden kann, installiert er in diesem Fall eine Variante von Win32/Zbot. Dieser wurde speziell für den Diebstahl von Banking-Informationen auf infizierten Systemen entwickelt. Der vorliegende Ableger von Win32/Zbot attackiert insbesondere europäische und russische Banken.

Zeus lauert auf Opfer

Linux/Chapro.A verweist auf eine in Litauen gehostete Internetseite. Diese enthält das Exploit-Paket "Sweet Orange", das sich auf das Ausnutzen von Webbrowsern und Plugins spezialisiert hat. "Ziel ist es, eine Variante von Win32/Zbot - auch als ZeuS bekannt - auf dem Apache-Server zu installieren. Seit vielen Jahren wird ZeuS für den Diebstahl von Banking-Informationen eingesetzt," sagt Pierre-Marc Bureau, Security Intelligence Manager bei ESET.

Sobald sich der Anwender in sein Konto eingeloggt hat, öffnet die Malware ein Popup-Fenster und verlangt nach dem CVV-Code der Kreditkarte. Der Schädling versucht dann die gesammelten Informationen an den Botnet-Betreiber zu senden.

Linux/Chapro.A ist komplexe MalwareLinux/Chapro.A ist komplexe Malware

"Der Angriff mit diesem Schädling zeigt die wachsende Komplexität moderner Malware. Linux/Chapro.A verbreitet sich bereits in drei unterschiedlichen Ländern und schwappt gerade auf ein Viertes über. Dies erschwert Strafverfolgungsbehörden die Arbeit und die Eindämmung der Auswirkungen,“ fügt Bureau hinzu.

Linux/Chapro.A besitzt eine Reihe interessanter Fähigkeiten, welche die Wahrscheinlichkeit des Entdecktwerdens stark reduzieren. So setzt der Schädling beispielsweise Cookies auf dem Rechner des Opfers und versteckt sich vor Webbrowsern.

Generische Malware-Erkennung schlägt an

Die Virenforscher von ESET entdeckten die Apache-Malware bereits im November. ESET blockte dieses Exploit aufgrund seiner generischen Malware-Erkennung. Nachdem die Virenlabors tausende von Zugriffen auf das Sweet Orange Exploit Pack registrierten, wurde der Link zu der Webseite in die URL-Blacklist aufgenommen. Zur Zeit der Entdeckung befand sich der schädliche Command-and-Control-Server in Deutschland, ist aber inzwischen offline gegangen.

Weitere Analysen: