← Alle Schadenbeispiele

Dridex: Der Banking-Trojaner, der über 100 Millionen Dollar stahl

von freeze4me.com · 2026-03-23
Dridex Banking-Trojaner Evil Corp Word-Makros Onlinebanking Credential Theft

Von 2014 bis 2022 stiehlt der Dridex-Trojaner über Word-Makros Bankzugangsdaten weltweit. Über 100 Millionen Dollar Schaden. Die Bande Evil Corp operiert ungestraft aus Russland.

Der Vorfall

Zwischen 2014 und 2022 richtete der Banking-Trojaner Dridex weltweit Schäden von über 100 Millionen US-Dollar an. Hinter der Schadsoftware stand die russische Cybercrime-Gruppe Evil Corp, angeführt von Maksim Yakubets – einem Mann, auf dessen Ergreifung das FBI bis zu 5 Millionen US-Dollar Belohnung aussetzte, der aber in Moskau unbehelligt einen Lamborghini mit dem Nummernschild „BOP" (russisch für „Dieb") fuhr.

Dridex war kein spektakulärer Einzelangriff, sondern eine leise, beharrliche Plage. Der Trojaner verbreitete sich über manipulierte Word-Dokumente, die per E-Mail verschickt wurden. Eine gefälschte Rechnung, eine angebliche Lieferbenachrichtigung, eine vermeintliche Bewerbung – die Tarnung wechselte, aber das Ziel war immer dasselbe: Zugangsdaten für Onlinebanking.

In Deutschland waren tausende Privatpersonen und Unternehmen betroffen. Konten wurden geplündert, Überweisungen umgeleitet, Kreditkartendaten gestohlen. Die Geschädigten merkten den Diebstahl oft erst, wenn das Geld bereits in einem Netzwerk aus Geldwäschekonten verschwunden war.

Das US-Justizministerium erhob 2019 Anklage gegen Yakubets und seinen Komplizen Igor Turashev. Großbritannien und die USA verhängten Sanktionen gegen Evil Corp. Doch die Gruppe operierte weiter – sie benannte ihre Schadsoftware einfach um und wich auf Ransomware aus. Dridex selbst wurde über die Jahre immer weiter verbessert und blieb bis 2022 eine aktive Bedrohung.

Wie der Angriff funktionierte

Dridex war ein Meisterwerk des mehrstufigen Angriffs. Jede Stufe war darauf ausgelegt, möglichst unauffällig zu sein und sich der Erkennung zu entziehen.

Stufe 1 – Die Phishing-E-Mail mit Word-Dokument: Ein Mitarbeiter erhielt eine E-Mail mit einem Word-Dokument im Anhang. Das Dokument sah professionell aus – eine Rechnung, ein Vertrag, ein Angebot. Beim Öffnen erschien die Aufforderung, Makros zu aktivieren, um den Inhalt korrekt anzuzeigen. Ein Klick genügte.

Stufe 2 – Der Makro-Loader: Das aktivierte Makro war der eigentliche Angriffscode. Es war absichtlich verschleiert (obfuskiert), um Virenscanner zu täuschen. Das Makro lud einen kleinen Loader aus dem Internet herunter – oft von kompromittierten Websites, die für Sicherheitsprodukte unverdächtig erschienen. Dieser Loader war die Brücke zwischen der E-Mail und dem eigentlichen Trojaner.

Stufe 3 – Installation des Dridex-Moduls: Der Loader installierte den eigentlichen Dridex-Trojaner. Dieser bestand aus mehreren Modulen: einem Kernmodul, das sich tief im System einnistete und bei jedem Windows-Start automatisch geladen wurde, einem Browser-Injector, der sich in Firefox, Chrome und Internet Explorer einklinkte, und einem VNC-Modul für Fernzugriff.

Stufe 4 – Banking-Diebstahl: Wenn der Nutzer seine Onlinebanking-Seite aufrief, aktivierte sich der Browser-Injector. Er modifizierte die angezeigte Webseite in Echtzeit – sogenanntes Web-Injects. Der Nutzer sah seine normale Banking-Seite, doch im Hintergrund wurden Überweisungen umgeleitet oder zusätzliche Daten abgefragt. Alternativ zeichnete der Keylogger die Tastatureingaben auf und schickte Zugangsdaten an die Evil-Corp-Server.

Die Persistenz war zentral: Dridex richtete sich so ein, dass es bei jedem Windows-Start automatisch geladen wurde. Es überlebte Neustarts, indem es sich in Autostart-Mechanismen eintrug – Registry-Einträge, geplante Tasks, Startup-Ordner. Genau diese Persistenz hätte Deep Freeze bei jedem Neustart zerstört.

Warum Virenscanner versagten

Dridex war über acht Jahre aktiv – und das trotz der Tatsache, dass die Virenscanner-Industrie die Bedrohung kannte und aktiv bekämpfte. Wie war das möglich?

Evil Corp betrieb ein professionelles Entwicklungsmodell. Dridex wurde kontinuierlich weiterentwickelt wie ein kommerzielles Softwareprodukt. Neue Versionen erschienen regelmäßig, jede mit verändertem Code, neuen Verschleierungstechniken und angepassten Verbreitungswegen.

Die Makro-basierten Loader wurden bei jeder Kampagne neu generiert. Jede Welle von Phishing-E-Mails verwendete frische Varianten, die zum Versandzeitpunkt von keinem Virenscanner erkannt wurden. Bis die Scanner-Hersteller Signaturen erstellt hatten, war die aktuelle Kampagne längst gelaufen – und die nächste verwendete wieder neuen Code.

Besonders effektiv war die modulare Architektur. Das Kernmodul wurde selten verändert und war tief im System versteckt. Die regelmäßig aktualisierten Angriffsmodule wurden erst nach der Installation nachgeladen – zu einem Zeitpunkt, an dem der Scanner den initialen Loader bereits durchgelassen hatte.

Zudem nutzte Dridex in späteren Versionen Techniken wie Process Injection, bei dem der Schadcode in legitime Windows-Prozesse injiziert wurde. Der Virenscanner sah nur den legitimen Prozess – der bösartige Code darin war unsichtbar.

So hätte Deep Freeze geschützt

Dridex war eine persistente Bedrohung. Es überlebte Neustarts, weil es sich in die Autostart-Mechanismen von Windows eintrug. Genau hier setzt Deep Freeze an.

Das Makro lädt den Loader – der Neustart löscht ihn. Ein Mitarbeiter öffnet die manipulierte Word-Datei und aktiviert Makros. Der Loader wird heruntergeladen und installiert. Soweit identisch. Doch am Ende des Arbeitstages wird der Rechner heruntergefahren. Deep Freeze setzt die Systempartition zurück. Der Loader ist weg.

Keine Installation des Dridex-Moduls. Selbst wenn der Loader innerhalb einer Sitzung das Dridex-Modul nachlädt – beim nächsten Neustart ist alles verschwunden. Die Registry-Einträge, die geplanten Tasks, die Dateien im Startup-Ordner – alles zurückgesetzt auf den eingefrorenen Zustand.

Der Browser-Injector kann sich nicht einnisten. Dridex brauchte einen dauerhaften Platz auf der Systempartition, um bei jedem Browserstart seinen Injector zu laden. Ohne Persistenz kein Injector, ohne Injector kein Banking-Diebstahl.

Acht Jahre Aktivität wären unmöglich gewesen. Dridex funktionierte nur, weil es dauerhaft auf den infizierten Rechnern lief. In einer Umgebung mit Deep Freeze hätte jeder Neustart die Infektion beendet. Die Angreifer hätten jeden einzelnen Nutzer immer wieder neu infizieren müssen – ein wirtschaftlich unmögliches Unterfangen.

Für Unternehmen, deren Mitarbeiter täglich Rechnungen und Dokumente per E-Mail erhalten, ist Deep Freeze eine ideale Schutzschicht: Selbst wenn ein Mitarbeiter eine manipulierte Datei öffnet, überlebt der Trojaner den nächsten Neustart nicht.

Die Lehre

  • Banking-Trojaner brauchen Persistenz. Dridex war nur gefährlich, weil es dauerhaft auf dem Rechner blieb. Deep Freeze eliminiert genau diese Persistenz.
  • Makros sind das Einfallstor Nummer eins. Trotz aller Warnungen klicken Mitarbeiter auf „Makros aktivieren". Deep Freeze macht den Klick ungefährlich – zumindest ab dem nächsten Neustart.
  • Acht Jahre, 100 Millionen Dollar – und Virenscanner konnten es nicht stoppen. Die kontinuierliche Weiterentwicklung von Dridex machte Signaturen wertlos. Deep Freeze funktioniert unabhängig von Signaturen.
  • Evil Corp operiert wie ein Unternehmen. Professionelle Cybercrime-Gruppen haben die Ressourcen, jeden Virenscanner zu umgehen. Deep Freeze ist dagegen immun, weil es nicht auf Erkennung, sondern auf Rücksetzung basiert.
  • Ein täglicher Neustart hätte Millionen gespart. Die einfachste aller Maßnahmen – den Computer am Abend herunterfahren – hätte in Kombination mit Deep Freeze den gesamten Schaden verhindert.

Nie wieder Opfer von Malware?

Deep Freeze macht Deinen PC immun gegen Viren, Ransomware und ungewollte Änderungen. Ein Neustart genügt.

So schützt Du Deinen PC →

← Alle Schadenbeispiele

Weitere Schadenbeispiele

Deep Freeze entdecken

Mehr erfahren →