20 Minuten verbreitete E-Banking Trojaner

Auf 20 Minuten konnte man sich mit "Gozi" infizieren

U.S. Staatsanwalt Preet Bharara erklärt die Vorgehensweise von Trojaner Gozi

Audiofiles

  1. Trojaner verbreitete sich via 20min.ch. Audio: Thomas Zesiger

Die Webseite von 20 Minuten verbreitete am Donnerstag und wohl auch schon am Mittwoch eine neue Version des bekannten E-Banking-Trojaners Gozi. Gozi ist in immer neuen Versionen bereits seit 2007 im Umlauf und sein Programmierer wurde erst kürzlich in den USA zu 21 Monaten Haft verurteilt.

Nur Desktop-Webseite betroffen
Betroffen war "nur" die Desktop-Webseite, welche etwa 20% des gesamten Traffics von 20 Minuten ausmacht. Nutzer der App oder auch wer mit dem Smartphone auf die mobile Webseite zugegriffen hat, ist nicht betroffen. Vermutlich auch nicht betroffen sind Mac-User. Mindestens ist bis heute keine Mac-Version der Malware bekannt. Inzwischen wurde die Malware von 20min.ch entfernt. Verbreitet wurde der Trojaner nach aktuellem Wissensstand über ein Javascript.

Gozi stiehlt E-Banking Daten
In der Schweiz gab es im September zuletzt einen grösseren Zwischenfall mit Gozi. Damals wurde die Malware über ein Werbenetzwerk auf verschiedensten Seiten verbreitet. Diese Version hat der Computer-Notfalldienst des Bundes (Computer Emergency Response Team) untersucht und dabei festgestellt, dass diese Version darauf spezialisiert ist, das E-Banking von fünf Schweizer Finanzinstituten zu stehlen. Ausserdem kann der Trojaner Screenshots anfertigen und Tastatureingaben loggen.
Der Trojaner agiert dabei als "Man in the Browser". Das heisst, die Täuschung passiert auf dem Computer des Opfers und nicht im Internet. Die Verbindung zur Bank bleibt intakt.

Was tun wenn man zu den potentiellen Opfer gehört
Wer zur fraglichen Zeit mit einem Desktop-Computer auf 20min.ch unterwegs war, der kann infiziert worden sein. Das muss aber nicht zwangsläufig sein. Bis klar ist, ob der Computer sauber ist oder nicht, sollte man das E-Banking auf jeden Fall unterlassen. Ein schlechtes Zeichen ist, wenn man an ungewohnter Stelle nach dem Computerpasswort gefragt wird. Auch unerwartete Abstürze oder eine Leistungseinbusse können Hinweise sein, dass der Computer infiziert ist. Wobei Letzteres bei neueren Rechner kaum mehr auffällt. Auf jeden Fall die Antivirus-Software aktualisieren und einen vollen Scan machen. Allerdings ist noch nicht ganz klar, ob die neuste Version des Trojaners bereits von allen Produkten auch erkannt wird. Da werden weitere Infos sicher in den nächsten Tagen verfügbar sein.

20min.ch immer wieder Angriffsziel
Das Medienunternehmen Tamedia - zu welchem 20 Minuten gehört - ist heute Donnerstag von Melani über den Angriff informiert worden, wie Tamedia-Sprecher Christoph Zimmer gegenüber der Nachrichtenagentur sda sagte. Die Webseite war nicht das eigentliche Ziel des Angriffs, sondern wurde einfach als (sehr potenter) Übermittler missbraucht.

Als Betreiber der grössten Newssites der Schweiz seien sie leider regelmässig Ziel von Angriffen. Alle paar Monate gelinge es einem Angreifer, die Sicherheitssysteme zu durchbrechen.

Auch andere grosse Newsseiten wurden schon für Gozi missbraucht. So zum Beispiel die Webseiten der britischen BBC oder der New York Times.

Kommentieren

comments powered by Disqus