Trojaner „URLZone“ erneut aktiv

Das Research-Team des Cybersecurity-Spezialisten FireEye, hat eine neue Angriffswelle des Trojaners „URLZone“ identifiziert. In der Vergangenheit vor allem in Deutschland und Spanien aktiv, konnten Ende Januar verstärkt Aktivitäten in Japan beobachtet werden.

Im Dezember 2015 sowie Ende Januar 2016 gab es mehrere Angriffswellen: Nutzer erhielten in japanischer und englischer Sprache Spam-Mails von Adressen der Anbieter softbank.jp und yahoo.co.jp, zwei der meist genutzten kostenfreien Mailprovider Japans. Im Anhang der Mail befindet sich eine .zip-Datei mit dem schädlichen URLZone-Trojaner.

Dieser lädt eine Konfigurationsdatei herunter, die gezielte Informationen zu den avisierten Finanzinstituten enthält und sich so Zugriff auf die persönlichen Kontoinformationen des Nutzers verschafft. Durch Infizierung mit Schadecode stiehlt URLZone die persönlichen Anmeldeinformationen des Online-Bankings der Benutzer.

Bereits 2009 sorgten die Angriffe von URLZone in Europa für Aufsehen – der Trojaner blieb nahezu ein Jahr unerkannt und hackte mehrere Millionen Bankkonten. Die von ihm getätigten Überweisungen wurden auf den infizierten Rechnern verschleiert, so dass viele Nutzer den Zahlungsausgang erst spät bemerkten.

Nun ist die Malware erneut aktiv und nutzt clevere Techniken, um unentdeckt zu bleiben: Im Unterschied zu anderen Trojanern handelt es sich um eine besonders widerstandsfähige Version – der Trojaner löscht seine Konfiguration in der Registry beim Ausloggen, Rebooten oder Herunterfahren.

Weitere Informationen: FireEye Blog