Skip to main content

Finanzielles Malware-Programm scheint über das Darknet mit Angreifern zu kommunizieren.

Ein neues finanzielles Malware-Programm, das über das I2P-Netzwerk (Invisible Internet Project) mit Angreifern kommuniziert, wird in einem russischen Cybercrime-Forum angeboten

Die Malware heißt i2Ninja und nutzt das I2P-Netzwerk als Command-and-Control (C & C) -Kanal, so die Sicherheitsforscher von Trusteer, die behaupten, die Ankündigung gesehen zu haben.

I2P ist ein verteilter Peer-to-Peer. Peer-Netzwerk, das mehrere Verschlüsselungsschichten verwendet, um eine sichere und anonyme Kommunikation zu ermöglichen, wodurch ein sogenanntes Darknet, ein separates Netzwerk innerhalb des Internets, entsteht. Wie Tor, ein ähnliches, aber populäreres Darknet, wurde I2P so entwickelt, dass verschiedene Dienste nur innerhalb des Netzwerks ausgeführt werden können.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows PC]

Anonyme Websites Auf .i2p-Pseudodomänen kann nur über EepProxy zugegriffen werden, ein Proxy-Programm, das einen Browser mit dem I2P-Netzwerk verbindet.

Was es macht

Laut der Ankündigung des i2Ninja-Erstellers hat die Malware die meisten die Funktionen anderer finanzieller Malware. Zum Beispiel kann er Informationen stehlen, die in Webformulare eingegeben werden, und unerwünschte Inhalte in HTTP- und HTTPS-Sitzungen in Internet Explorer, Firefox und Chrome einfügen. Es kann auch Anmeldeinformationen von 33 FTP-Clients und einigen der beliebtesten Online-Poker-Clients stehlen.

Für Botnet-Betreiber bietet die Verwendung von Darknets wie Tor oder I2P erhebliche Vorteile. Erstens, der Verkehr zwischen der Malware und dem Befehlsserver kann nicht einfach durch Intrusion Prevention-Systeme oder Firewalls blockiert werden, da es verschlüsselt ist, sagte Dmitry Tarakanov, Malware-Forscher bei Antivirus-Hersteller Kaspersky Lab, Donnerstag per E-Mail.

Blockierung dieser bösartigen Verkehr würde bedeuten Blockieren des gesamten I2P- oder Tor-Verkehrs, da das Extrahieren des genauen Ziels von einem solchen Netzwerkpaket, um nur Verbindungen zu einer bestimmten Adresse zu blockieren, unmöglich ist, sagte Tarakanov. Darüber hinaus können Angreifer durch das Verstecken ihrer C & C-Server innerhalb der I2P- oder Tor-Netzwerke die Suche und den Abbau dieser Server für Sicherheitsforscher erheblich erschweren. Es gab bereits Fälle von Malware, bei denen Tor als C & C-Kanal eingesetzt wurde Fall des Mevade-Botnets, das im August für eine signifikante Erhöhung der Anzahl der Tor-Benutzer verantwortlich war.

Verkauft an Cyberkriminelle

Es ist nicht klar, ob i2Ninja über Peer-to-Peer-Fähigkeiten wie die Gameover- oder Hlux / Kelihos-Botnetze verfügt in dem infizierte Computer Informationen und Befehle direkt untereinander austauschen können. Wenn das der Fall ist, könnte es schwierig sein, Botnets auf Basis dieser Malware auszuschalten, sagte Tarakanov.

Es ist nicht bekannt, ob i2Ninja bereits benutzt wird, um Computer zu infizieren. Trusteer stützte seinen Bericht auf die Ankündigung des Internetcrime-Forums, und es gibt keine Beispielhashes, die Antivirus-Unternehmen bei der Suche nach Malware in ihren Datenbanken helfen könnten.

Da i2Ninja an andere Cyberkriminelle verkauft wird, wird es wahrscheinlich mit den üblichen Methoden verteilt für diese Art von Malware: Spam-E-Mails, Drive-by-Download-Angriffe von mit Exploit-Kits infizierten Webseiten und direkte Installation durch bestehende Botnets, sagte Tarakanov.