Banking-Trojaner verbreitet sich über Opera-Website

Laut Bitdefender missbrauchten Cyberkriminelle die Portalseite von Opera, um eine neue Variante des Trojaners ZeuS (Trojan.Zbot.HXT) auf die PCs der Besucher zu transportieren.

Der Schadcode stammt ursprünglich von einem Server in Russland. Von dort aus wurde er über den vermutlich gehackten Anzeigenserver in die Opera-Seite portal.opera.com eingeschleust. Die Experten konnten bereits nachvollziehen, dass der Server eine speziell präparierte Werbe-Anzeige über einem iFrame auslieferte ("Malvertising"). Der Inhalt des iFrames versuchte, über das Blackhole-Exploit-Kit Schwachstellen in den Browser-Plug-ins zu finden und den Rechner zu infizieren. Die Kriminellen versuchten vor allem eine ältere Lücke im Adobe-Reader zu nutzen, um den Banking-Trojaner einzuschleusen.

Bei älteren Opera-Versionen ist die Opera-Portalseite als Standard-Startseite eingestellt. In neueren Versionen gibt es einen Link darauf. Es ist daher nicht auszuschließen, dass zahlreiche Opera-Nutzer gefährdet waren. Kurz nachdem Opera von der Gefahr erfahren hat, wurde die Werbung des gehackten Anzeigenservers von der Portalseite entfernt. Gegenüber The Register sagte Opera, dass es keine Anzeichen für Infektionen bei den Nutzern gegeben habe.

Opera-Nutzer, die die Portalseite am 14. oder 15. November besucht haben, sollten ihren Rechner trotzdem auf Schadsoftware testen. Bitdefender empfiehlt dafür den kostenlosen Schnelltest über Bitdefender Quickscan.