Bei „Panda Banker“ handelt es sich um einen Bankentrojaner, der sich den Source Code des bekannten Zeus-Trojaners zunutze macht. Der tauchte erstmals bereits 2016 auf, ist aber nach wie vor aktiv. Gerade in jüngster Zeit wurden zahllose Updates veröffentlicht. Panda Banker injiziert auf der Webseite des Opfers bösartigen Skript-Code und nutzt dabei „Man-in-the Browser“-Techniken. Der „Man-in-the-Browser“-Angriff ist eine Sonderform der „Man-in-the Middle“-Attacke“. Bei einem MiTB-Angriff nfiziert ein Trojaner den Browser des Nutzers. Verwendet dieser dann beispielsweise Onlinebanking oder ein soziales Netzwerk, wird die Darstellung der Webseite so verändert, dass eigenständig Transaktionen durchgeführt werden können. Im Normalfall bemerkt der Nutzer nicht, dass hier ein Schadprogramm am Werk ist, denn er bewegt sich auf echten Seiten der betreffenden Anbieter, ist korrekt eingeloggt und die unerwünschten Transaktionen sehen für den Nutzer wie ganz normale Vorgänge aus.
Die Hauptintention von Panda Banker: das Stehlen von Konto- und Kreditkartendaten sowie von persönlichen Daten und Informationen. Panda Banker wurde jüngst über einen anderen Bankentrojaner, Emotet, verteilt. Letzterer hat es auf Chip-TAN- und SMS-TAN-Nummern abgesehen und wurde/wird über Spam-Mails verbreitet. Aber auch Social Engineering-Methoden kommen zum Tragen. Panda Banker tut seinerseits einiges um sein Verhalten zu verschleiern. Das betrifft sowohl die Code-Basis als auch eine vielschichtige Verschlüsselung, die es erschwert die Kommunikation mit dem C2-Server oder das böswillig veränderte Skripting als solches zu erkennen.
Panda Banker richtet sich primär gegen Ziele in den USA, Kanada und Japan und konzentriert sich dabei auf Konto- und Kredikartendaten und Informationen zu digitalen Geldbörsen, den sogenannten Web Wallets.
Weitere Infos
>> Blogpost der Analysten von Cylance