Trojaner klaut Daten von Mitgliedern des Jobportals Monster

Symantec und SecureWorks haben jetzt den Trojaner Infostealer.Monstres / PrgTrojan entdeckt, der Zugänge von Arbeitgebern und Werbung auf Monster.de nutzt um an persönliche Daten von Arbeitssuchenden zu gelangen, die bei Monster.de registriert sind. Der Trojaner wird entweder über eMailanhänge oder durch Webseiten in der Schwachstellen von verschiedenen Browsern und anderer Software ausgenutzt werden verbreitet. Auf Monster.com würde der Trojaner ebenfalls in Werbung auf Monster.de implemntiert sein, der sich so auf Rechner von Opfern schleust.

Infostealer.Monstres / PrgTrojan wurde, soweit ist mittlerweile bekannt, mit einem Rootkit erstellt und nutzt einen eigenen Laufzeitpacker. Er ist in der Lage, sich auf verschiedene Arten zu tarnen indem er einfache Ausführungen mit sehr langen und umständlichen Aufrufen ersetzt. Somit werde die Erkennung einer Signatur oder eine Erkennung durch Antivirenprogramme verhindert. Danach sammelt er auf den betreffenden Rechnern Daten die er über Drohnen an Server schickt, die die Daten verschlüsselt bis zum Abruf lagern, dadurch seien sie auch für andere schwer bis gar nicht aufzuspüren, da nicht einsehbar. Diese sammelt er durch das Einklinken in verschiedene Systemprozesse um sich zu tarnen – zudem wird die Internetkommunikation überwacht da er sich in der Winsock Library und in der WinInet.dll hackt – so kann er auch über verschlüsselte SSL Verbindungen (z. B. zu Banken) Daten aus dem RAM unverschlüsselt abfangen und an den Sammler schicken.

Neben dieser lokalen Sammelaktion werden gestohlene Zugangsdaten zu Monster.com verwendet um über hiring.monster.com und recruiter.monster.com Daten wie die Sozialversicherungsnummer, Kontodaten, Adressdaten, Telefonnummern, Benutznamen, Passwörter und eMail Adressen von Arbeitssuchenden abzufragen – dadurch sind, soweit festgestellt werden kann, hauptsächlich amerikanische Nutzer betroffen, insgesamt bisher an die 1,6 Millionen.

Zusätzlich kann der Trojaner auch spammen, um die Drohnen seinem Botnetz hinzuzufügen; Daten auf der Festplatte mit GPCoder verschlüsseln, um später Geld für ein Entschlüsselungstool zu verlangen. Ebenfalls werden Phishing Mails von Monster.com mit dem GPCoder verschickt, die mit persönlichen Daten, die durch den Hack gewonnen wurden gefüllt seien und somit täuschend echt wären.

Symantec und SecureWorks rät allen Anwendern dringend ein Update des Betriebssystemes durchzuführen sowie aller eingesetzter Software und keine Anhänge von (überraschenden) eMails zu öffnen oder den Links darin zu folgen.

Da können die Benutzer von Monster.de momentan aber glücklich sein, dass es sie nicht betrifft. Ich hab die Meldung auch schon woanders gelesen, aber da hat es sich, Panikmache Deluxe, mal wieder so angehört, als ob auch und vor allem die deutsche Seite davon betroffen sei.

Aber es ist bestimmt nur eine Frage der Zeit, bis das auch nach Europa rüberschwappt wenn man den Fehler nicht schnell behebt. Warum sollen eigentlich nur die Endbenutzer diesen Fehler per Update ausgleichen können, schließlich trägt meiner Meinung nach Monster auch eine gewisse Mitverantwortung, dass solche Fehler überhaupt erst auftreten, wenn sie das etwas löchrig gestalten - anonsten hätten Hacker oder Cracker doch erst gar keine Chance, dass System so auszunutzen.