Trend Micro beschreibt die Angriffe mit Hilfe des Tools "Automatic Transfer System" (ATS) als nahezu unsichtbar. Fast ohne Spuren zu hinterlassen wurden bereits einer ganzen Reihe von Bankkunden - darunter einigen Deutschen - die Konten leer geräumt. Zwei-Faktor-Sicherheitssysteme wie etwa per SMS verschickte TANs bieten keinen zuverlässigen Schutz.
Nach Angaben der Sicherheitsforscher können die Internet-Kriminellen mit Hilfe des ATS-Tools und Varianten der populären Baukasten-Trojaner "SpyEye" und "ZeuS" einen so genannten Man-in-the-Browser-Angriff (MitB) ausführen. Darunter versteht man laut Wikipedia "eine Angriffsform auf Rechner, bei der ein Trojaner den Browser des Nutzers infiziert und dann bei Nutzung des Onlinebankings oder eines Social Networks die Darstellung von Webseiten verändert und Transaktionen eigenständig durchführen kann. Im Gegensatz zum Phishing können die Eingriffe des Schadprogramms dabei vom Nutzer im Normalfall nicht bemerkt werden, da der Nutzer sich auf den echten Seiten der Anbieter bewegt, korrekt eingeloggt ist und die unerwünschten Transaktionen für den Nutzer wie normale Vorgänge angezeigt werden." Der Angriff funktioniert, ohne dass die Angreifer selbst online sind und aktiv eingreifen, da die getätigte Überweisung mit Hilfe der Benutzerdaten des Opfers automatisiert wird. Die Schadsoftware läuft - anders als bei bisherigen, ähnlichen Angriffen - komplett im Hintergrund und fast ohne Spuren zu hinterlassen.
Betroffen sind von dem neuen Angriff bislang soweit bekannt Bankkunden in Deutschland, Großbritannien und Italien. In allen bisher dokumentierten Fällen nutzten die Betroffenen das Betriebssystem Microsoft Windows, was darauf hindeutet, dass die Angreifer derzeit keine passende Malware-Variante für alternative Betriebssysteme nutzen.
"Die Angriffe sind deshalb so besorgniserregend, weil sie nicht nur herkömmliche Sicherheitsvorkehrungen umgehen können, sondern auch fortschrittliche wie das hierzulande bekannte Zweifaktor-Authentisierungsverfahren. Das ATS-Tool führt scheinbar völlig unsichtbar für den Anwender Überweisungen aus und manipuliert den angezeigten Kontostand", kommentiert Raimund Genes, Chief Technology Officer bei Trend Micro. "Das Fazit kann also nur lauten: Die Infektion des Rechners lässt sich nur verhindern oder zumindest entdecken, wenn der Schutz direkt an den Endpunkten ansetzt, und wenn Web-Reputationsdienste zum Einsatz kommen: Denn sie blockieren bösartige URLs sowie die Kommunikation mit den Kontroll- und Kommandoservern eines Botnetzes". Daneben schützt derzeit auch die Nutzung eines alternativen Betriebssystems - unter Umständen in Form einer virtuellen Maschine - vor dem beschriebenen Angriff.
