Der schon seit über einem Monat bekannte Trojaner MetaFisher (auch bekannt als PWSteal.Metafisher) ist nach Angaben der Firmen iDefense und Sunbelt immer noch weit verbreitet und erfolgreich aktiv. Beim Besuch präparierter Webseiten installiert sich der Trojaner unter Ausnutzung der bekannten Windows-Metafile- (WMF-)Sicherheitslücke. Die Schadsoftware besteht angeblich aus einem fernsteuerbaren Bot sowie einem Keylogger und wird erst dann aktiv, wenn der Nutzer des infizierten Rechners die Webseiten bestimmter Banken besucht; Ziel sollen vor allem Geldinstitute in Großbritannien, Spanien und Deutschland sein.

Der Trojaner klinkt sich dann so geschickt in den Browser ein, dass die in Eingabefeldern der Web-Formulare eigetippten Passwörter und PINs gar nicht erst zu den Servern der Banken übermittelt werden, sondern an Server unter Kontrolle der Phisher. Weil sie eben nicht bei den Banken einträfen, würden demnach auch Einmal-Passwörter ihre Gültigkeit behalten.

Nach Angaben der Sicherheitsexperten von iDefense und Sunbelt zeichnet sich der MetaFisher-Trojaner durch eine besonders ausgeklügelte Steuerung aus, die sich auch nachträglich an unterschiedliche Webseiten anpassen lässt. (ciw/c't)