Monster-Trojaner stiehlt Daten von Arbeitssuchenden

Die Sicherheitsdienstleister Symantec und SecureWorks haben einen Trojaner entdeckt, der Arbeitgeber-Zugänge von Monster.com nutzt, um an persönliche Daten von Arbeitssuchenden zu kommen. Der Trojaner wird per E-Mail-Anhang und durch Webseiten verbreitet, die Schwachstellen in Webbrowsern und weiterer Software ausnutzen. US-amerikanische Medien berichten aber auch von Werbung auf Monster.com, die den Schadcode auf die Rechner der Opfer schleust.

Der Trojaner Infostealer.Monstres (Symantec) beziehungsweise PrgTrojan (SecureWorks) wird mit einer Baukasten-Software erstellt. Er nutzt einen eigenen, neuen Laufzeitpacker und kennt zahlreiche Möglichkeiten, seinen schädlichen Code zu verschleiern, indem er etwa einfache Operationen mit langen, umständlichen Aufrufen ersetzt. Das soll einerseits die Erkennung mit Signaturen, andererseits eine heuristische Erkennung durch Antivirensoftware verhindern. Gesammelte Daten verschicken infizierte Rechner über Proxies an die eigentlichen Server, die sich so nur schwer aufspüren lassen. Diese lagern die Daten verschlüsselt, damit sie Dritte nicht einfach einsehen können.

Der Trojaner klinkt sich in mehrere Systemfunktionen ein, um sich mit Rootkit-Techniken zu verstecken. Außerdem überwacht er die Internetkommunikation, indem er sich in die Winsock-Bibliothek und die WinInet.dll einhakt. Daten, die per gesicherter SSL-Verbindung verschickt werden, kopiert er unverschlüsselt aus dem Arbeitsspeicher und versendet sie an die Sammel-Server.

Zusätzlich nutzt Infostealer.Monstres gestohlene Zugangsdaten zu den Arbeitgeber-Seiten von Monster.com, um persönliche Daten von Arbeitssuchenden zu sammeln. Die Daten fragt der Trojaner über die Subdomains hiring.monster.com und recruiter.monster.com ab, wodurch hauptsächlich englischsprachige Arbeitssuchende betroffen sind. Zu den Daten, die der Schädling ausspäht, gehören unter anderem die Sozialversicherungsnummer, Kontodaten, Name respektive Anschrift, Telefonnummern, E-Mail-Adressen sowie Benutzernamen und Passwörter.

Symantec hat auf einem Server mehr als 1,6 Millionen Datensätze entdeckt, die zu mehreren hunderttausend Jobsuchenden gehören, die dem Sicherheitsdienstleister zufolge größtenteils aus den USA kommen. Der Trojaner kann auch Spam versenden. Dabei hat Symantec auch Verbindungen zum Schädling GPCoder ausgemacht, der Daten auf der Festplatte verschlüsselt und betroffene Anwender um Geld für ein Entschlüsselungswerkzeug erpresst. Monster.com-Phishing-Mails mit GPCoder im Anhang sollen von den kriminellen Individuen verschickt worden sein. Diese Phishing-Mails enthielten persönliche Daten der Opfer und sahen echten Monster.com-Mails recht ähnlich.

Quelle: Heise-Newsticker

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: