Software
Banking-Trojaner für Linux aufgetaucht
Der Trojaner »Hand of Thief« wurde von russischen Kriminellen speziell für die Linux-Plattform gebaut und wird für 2.000 US-Dollar zum Kauf angeboten.
Damit scheint Linux zumindest als Test-Plattform in den Fokus der Cyber-Kriminellen gerückt zu sein. Malware unter Linux war bisher meist auf gezielte Angriffe gegen Server beschränkt. Der aus Russland stammende »Hand of Thief«-Trojaner zielt dagegen auf das Abschöpfen von Daten zum Online-Banking von Desktop-Nutzern. Die Schadsoftware scheint von einer gut organisierten Bande zu stammen, es gibt Verkaufsagenten und Entwickler, die auch Unterstützung bei Problemen mit der Software anbieten.
Der Trojaner, der ausschließlich Linux-Rechner angreift, wurde nach Aussagen eines Verkäufers auf 15 verschiedenen Distributionen und acht Desktopumgebungen wie KDE oder Gnome getestet. Unterstützte Browser sind neben Firefox und Google Chrome auch Chromium, Arora und Iceweasel. Das berichtet RSA, die Sicherheitsabteilung der EMC Corporation, die den Trojaner näher analysiert haben.
Der Schädling, der laut RSA im Vergleich mit Banking-Trojanern für die Windows-Plattform noch relativ primitiv ist, nutzt keine spezielle Lücke in Linux aus, sondern wird über den Browser übertragen oder vom Anwender selbst installiert, indem dieser auf unbekannte Anhänge in E-Mails klickt. Die Macher haben jedoch bereits angekündigt, dass ihr Produkt demnächst ein Update erfährt, dass es auf eine Stufe mit den Windows-Pendants stellt. Eine Anhebung des Preises auf 3.000 US-Dollar ist bereits angekündigt, wobei weitere Updates jeweils 550 US-Dollar kosten sollen.
Derzeit verfügt die Software über einen Formgrabber für HTTP und HTTPS, eine Backdoor und Werkzeuge, die eine Entdeckung verhindern sollen. Hierzu zählt eine Liste von Antiviren-Firmen, die auf dem infizierten Rechner per DNS-Umleitung verhindert, dass Antiviren-Software aktualisiert werden kann. Diese Methode war erstmals bei dem auf ZeuS aufbauenden Trojaner Citadel verwendet worden.
Für das Gebotene erscheint den Experten der Preis für diese Malware als sehr hoch, wenn man die geringe Verbreitung angesichts der vergleichsweise kleinen Nutzerbasis bedenkt. Zudem haben Linux-Anwender in vielen Fällen bessere Systemkenntnisse und eine viel höhere Hemmschwelle, auf alles zu klicken, was ein Link ist. Von daher vermuten die Experten bei RSA, dass »Hand of Thief« ein Testballon ist. Es soll der Markt für Käufer von Linux-Malware getestet werden. Sollten Käufer ihre recht hohe Investition wieder einspielen, könnte hier zukünftig ein neuer Markt geschaffen werden.
