Die Panda Security Experten haben einen neuen Trojaner entdeckt, der im Unterschied zu anderen Trojanern nicht unkoordiniert die unterschiedlichsten Bereiche auf dem infizierten Computer nach E-Mail Adressen durchstöbert, sondern gezielt in der aktuellen Kontaktliste die begehrten Adressen sucht. Alle dort gefundenen Adressen sichert er daraufhin in einer Textdatei und überträgt sie via FTP auf den Server des Malware-Programmierers.
Blöd nur, dass der Programmierer selber unvorsichtig war und die FTP Credentials im Klartext hinterlassen hat, so dass die Panda Analysten mühelos auf den entsprechenden Server, der mir einem RedHat Linux Betriebssystem betrieben wurde, gelangen konnten. Dort gespeichert waren Tausende gestohlene E-Mail Adressen sowie mehrere Phishing-Seiten für verschiedene Banken aus Italien, Brasilien und anderen Ländern.
Der Server enthielt zudem einige Scripts mit deren Hilfe der Trojaner und die Phishing-Mails an die gestohlenen Adressen versendet wurden.
Hier ein kleiner Einblick in die Phishing-Zirkulation:
1. Zuerst wurde der Trojaner versendet, der
2. die begehrten E-Mail Adressen auf den infizierten Systemen suchte und diese an den Server zurückschickte, damit
3. im Anschluss daran die Phishing-Mails an die vom Trojaner besorgten Adressen gesendet werden konnten, um
4. die Zugangsdaten für die verschiedene Banken zu erhalten.