Das Sicherheitsunternehmen "Websense" meldet eine neue Variante, um durch das so genannte "Phishing" an brisante Bankdaten ihrer Opfer zu kommen: Es handelt sich um einen so genannten Phishing-Trojaner, der nach Angaben des Unternehmens seine Aktivitäten verschleiert.
Hat der Trojaner ein unsicheres System entdeckt, so installiert sich der Schädling als Internet Explorer-Browser Helper Object (BHO) und greift damit sensible Daten, wie beispielsweise die Passwörter für Online-Banking, ab. Neu bei dem Spyware-Trojaner ist die Art und Weise der Datenübermittlung an seinen Heimatserver:
Während Trojaner üblicherweise Informationen per E-Mail oder HTTP POST übermitteln, verschlüssle diese Malware die Daten mit einem einfachen XOR-Algorithmus und verstecke sie in ICMP-Ping-Pakete. Für Netzwerk-Administratoren und Filter würden diese ICMP-Pakete wie legitimer Netzwerk-Traffic aussehen. ICMP (Internet Control Message Protocol) ist ein Protokoll, das Statusinformationen und Fehlermeldungen von IP-Protokollen übermittelt.
Der noch unbekannte Phishing-Trojaner wurde dem Sicherheitsunternehmen in einer Beispiels-Variante zugespielt. Ob sich tatsächlich entsprechende Trojaner in Umlauf befinden und ob es unter Umständen auch Mail-Varianten bzw. infizierte Webseiten gibt, konnte das Unternehmen weder bestätigen, noch dementieren. Es heißt nur: man habe in einem Angriffs-Szenario eine Workstation mit dem Trojaner infiziert. Nach der Eingabe von Konto-Informationen auf einer SSL-geschützten Webseite der Deutschen Bank habe der Trojaner dann via Ping die verschlüsselten Informationen an einen Remote-Server verschickt.
