Phishing-Malware stiehlt 74.000 FTP-Credentials

Neuer Zeus-Trojaner infiziert FTP-Server mit JavaScript-Schadcode

Im Brennpunkt: Eine Variante des Zeus-Trojaners stiehlt FTP-Zugangsdaten, um JavaScript-Schadcode zu verbreiten.

IT-Security-Experten haben einen neuen Trojaner entdeckt, der bislang über 70.000 verschiedene FTP-Server-Logins abgegrast hat. Nun greift die Malware die ersten Domains an und schleust bösartige Skripte in die kompromittierten FTP-Seiten ein. Auf der Liste der angreifbaren Webseiten steht unter anderem Amazon.com.

Jacques Erasmus, Direktor der Prevx-Forschungsabteilung, erwartet in den kommenden ein bis zwei Tagen einen deutlichen Anstieg der Malware-Aktivitäten. Angesichts der zahlreichen Infektionen sieht er jedoch keine effektive Möglichkeit, betroffene Unternehmen in einem angemessenen Zeitrahmen zu benachrichtigen.

Ein einzelner infizierter Client schafft es innerhalb von fünf Minuten, bösartigen JavaScript -Code in 85 FTP-Webseiten einzuschleusen. Hat es das Skript auf eine Webseite geschafft, scannt es Besucher-PCs auf Software-basierte Schwachstellen. Im Falle einer Sicherheitslücke sendet der Schadcode ein speziell angepasstes Malware-Paket an den Rechner, das wiederum Passwörter und andere sensible Informationen stiehlt.

Als neuestes Mitglied der Zeus-Familie gibt sich der Phishing - Trojaner aber nicht damit zufrieden, einfach nur FTP-Logins zu stehlen. Gleichzeitig bereinigt er auf kompromittierten Rechnern den Formulardaten- Cache , in dem möglicherweise FTP-Login-Daten für einen automatischen Zugriff hinterlegt sind.

Angesichts der zunehmenden Malware- und Phishing-Angriffe auf FTP-Server-Betreiber empfehlen Erasmus und andere Sicherheitsexperten den Umstieg auf Secure FTP (SFTP). Zahlreiche FTP-Clients unterstützen dieses Protokoll bereits. Durch die verschlüsselte Kommunikation kann man mögliches Sniffing und andere Sicherheitsvorfälle unterbinden. Zudem sollten Anwender sicherstellen, dass die FTP-Login-Informationen nicht im Browser-Cache vorgehalten werden.

Angesichts infizierter Reseller-Webseiten hat Symantec eine umgehende Prüfung seiner FTP-Server angekündigt. Andere Firmen und Privatanwender können über eine von Prevx bereitgestellte Webseite herausfinden, ob ihre FTP-Zugangsdaten gestohlen wurden.