In einem Blogbeitrag beschreiben die Sicherheitsspezialisten von Trusteer eine neue Variante des Banking-Trojaners SpyEye. Diese bislang nicht bekannte Version hat spezielle Funktionen an Bord, um Nutzer der Webseiten von Air Berlin, Air Plus (Lufthansa-Tochter, spezialisiert auf das Travel Management) und der von Lufthansa ausgegebenen Kreditkarten zu attackieren.

In allen Fällen wird die Anmeldeeinstiegsseite vom Trojaner modifiziert, um die Daten abzufangen. Das Besondere am Webangebot von Air Berlin: Es erlaubt, neben dem üblichem Weg per Kreditkarte, das Bezahlen von Flugtickets per EC-Karte und im Fall von Kunden aus Deutschland, Holland und Österreich auch über Bankeinzug.

Dem Trojaner werden also nicht nur die üblichen Kreditkarteninformationen geliefert. Er kommt im Fall von Air Berlin unter Umständen auch an die Bankinformationen der Kunden, so dass anschließen ein direkter Kontozugriff  mit den geklauten Daten möglich wäre. Gleichzeitig saugt der Schädling auch Nutzernamen, Passwort und das zur Flugbuchung notwendige Geburtsdatum ab. Einem Identitätsdiebstahl sind so Tür und Tor geöffnet.

Im Fall von Air Plus beziehungsweise Lufthansa nehmen die Macher dieser SpyEye-Variante eine potentiell besonders lukrative Klientel ins Visier. Denn die von Air Plus ausgegebenen Kreditkarten sind ausschließlich in Händen von Mitarbeitern aus größeren und mittelgroßen Unternehmen. Daher liegt der Schluss nahe, dass die Kartenlimits entsprechend hoch sind. Die hier gesammelten Kreditkartendaten sind demnach auf dem Schwarzmarkt besonders teuer zu verkaufen.

Laut Trusteer-Blog injiziert SpyEye genau wie bei Air Plus auch in die Loginseite von www.miles-and-more.kartenabrechnung.de eine gefälschte Sicherheitsabfrage. Diese sammelt sämtliche Kreditkartendaten ein, inklusive des hinten aufgedruckten Sicherheitscodes. Die letztgenannte Domain wird von allen Inhabern einer von Lufthansas Vielfliegerprogramm Miles & More ausgegebenen Kreditkarte verwendet, um Rechnungen sowie Transaktionen online einsehen zu können.

SpyEye und dessen Quasi-Vorgänger ZeuS erkennen die Webseiten von Banken und anderen Zielen. Sie können so neue Felder perfekt ins Seitenlayout einfügen, um den Opfern weitere persönliche Details zu entlocken, die für die Nutzung der jeweiligen Website an sich gar nicht notwendig sind. All das passiert auf dem infizierten PC und nicht etwa auf dem Webserver des Anbieters. Letzterer bemerkt von der Manipulation gar nichts. Alle Änderungen passieren im Browser des befallenen Rechners. Von daher schützt auch SSL/HTTPS nicht vor den bösartigen Veränderungen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.