Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt Nov Dez
Most Popular Analysis



Kaspersky Security Bulletin 2014/2015 – Statistik für das Jahr 2014



Kaspersky Security Bulletin 2014/2015. Ein Blick in die APT-Kristallkugel



Kaspersky Security Bulletin 2014. Entwicklung der IT-Bedrohungen



Kaspersky Security Bulletin 2014/2015. Vorschau auf 2015



Entwicklung der IT-Bedrohungen im 3. Quartal 2014
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Malware-Aktivität im April 2012

22.05.2012   |   Ihr Kommentar

Der April in Zahlen

Im Laufe des Monats wurden auf den Computern der Anwender von Kaspersky-Lab-Produkten

  • 280.000.000 Schadprogramme entdeckt und unschädlich gemacht
  • 134.000.000 webbasierte Infektionen verhindert (48 Prozent aller Bedrohungen)
  • über 24.000.000 schädliche URLs entdeckt

Cyberbedrohungen und Top-Themen

MacOS X: Massenhafte Verbreitung von Exploits und ein Advanced Persistent Threat (APT)

Die ungewöhnlich hohe Aktivität von Malware für MacOS X, die wir im März beobachten konnten, war nur die Spitze des Eisbergs. Zwei Vorfälle im April haben unseren Blick auf die Sicherheit dieses Betriebsystems für immer verändert: Einmal die massenhafte Verbreitung von Exploits, zum Anderen der Einsatz von MacOS X als Teil eines Advanced Persistent Threats (APT).

Flashfake

Beginnen wir mit dem Flashfake-Botnetz, auch bekannt als Flashback. Die Malware-Familie Flashfake wurde erstmals im Jahr 2011 entdeckt und als Trojan-Downloader.OSX.Flashfake registriert. Der Schädling wurde als gefälschtes Update des Adobe Flash Player verbreitet, womit sich auch sein Name erklärt. Von September 2011 bis Februar 2012 wurde Flashfake ausschließlich mit Hilfe von Social-Engineering-Methoden verbreitet: Die Besucher verschiedener Webseiten wurden aufgefordert, ein (gefälschtes) Update des Adobe Flash Player herunterzuladen.

In unserem Malware-Report für März berichteten wir darüber, dass hunderttausende gehackte WordPress-Blogs für eine neue Verbreitungsmethode dieses Schädlings genutzt wurden. Das Problem verschärfte sich daraufhin dramatisch, als Flashfake Exploits einsetzte, um Computer zu infizieren. Das wiederum müncete im Aufbau des Flashfake-Botnetzes, das sich aus mehr als 750.000 Macs zusammensetzte.

Die Cyberkriminellen, die Flashfake veröffentlichten, konnte ihr Schadprogramm via WordPress verbreiten, indem sie den Traffic von den WordPress-Blogs über ein Partner-Programm anmietete, das von der Cyberkriminellen-Gang rr.nu angeboten wird. Ungefähr 85 Prozent der gehackten Blogs stammten aus den USA und die Verwendung des WordPress-Traffics ermöglicht es der Flashfake-Bande, die Besucher von WordPress-Seiten auf die gehackten Webseiten umzuleiten, die von den Angreifern kontrolliert wurden. Landete ein Besucher auf einer gehackten Seite, versuchten drei verschiedene Exploits, seinen Computer zu infizieren: CVE 2011-3544, CVE 2008-5353 und CVE 2012-0507. Oder die Seite versuchte, den User dazu zu bringen, eine JAR-Datei herunterzuladen und zu installieren, die eine gefälschte Signatur von Apple enthielt. War eines der Exploits erfolgreich, wurde der angegriffene Computer ohne weitere Interaktion des Nutzers infiziert. Die signierte JAR-Datei funktionierte dagegen nur, wenn der Anwender der Installation zustimmte. Weitere technische Details zum Installationsprozess und dem Verhalten von Flashfake finden Sie hier.

Allerdings war der Schlüssel zum Erfolg dieser Kampagne nicht nur die neue Verbreitungsmethode, sondern auch die verwendeten Exploits trugen ihren Teil dazu bei. Es ist interessant, dass sie sich ausnahmslos gegen Java richteten, wobei Implementierung und Verteilung der Sicherheitspatches für MacOS X von Apple anstelle direkt von Oracle bereitgestellt wurden, was zu einer Verzögerung der Sicherheitsupdates für die Endanwender führte. So wurde die Sicherheitslücke CVE 2012-0507 beispielsweise am 14. Februar von Oracle für alle Plattformen gepatcht, doch Apple brachte das Update erst am 3. April in Umlauf und ließ die MacOS-X-User damit für lange Zeit ungeschützt. Java ist auf MacOS X Lion nicht standardmäßig installiert, so dass jeder Nutzer selbst entscheiden kann, ob er es installiert oder nicht. Als der Patch schließlich herausgegeben wurde, war er nur für Anwender von MacOS X Lion und Snow Leopard verfügbar.

Als Folge wurden mehr als 700.000 Computer mit Flashfake infiziert, 58 Prozent davon in den USA. Kaspersky Lab hat daraufhin die Webseite Flashbackcheck.com eingerichtet, auf der Anwender überprüfen können, ob ihr Computer infiziert wurde. Dort können sie außerdem ein kostenloses Desinfektionstool zum Entfernen der Malware herunterladen.

Weitere Informationen zu Flashfake finden Sie in nachfolgenden Artikeln:

  1. The anatomy of Flashfake. Part 1
  2. Flashfake Mac OS X botnet confirmed
  3. Flashfake Removal Tool and online-checking site
  4. OS X Mass Exploitation - Why Now?

SabPub: Neuer Advanced Persistent Threat (APT)

Im April wurde mit SabPub ein aktiver Advanced Persistent Threat (APT) identifiziert, der zwei Typen von Backdoor-Trojanern nutzte, um Computer zu infizieren. Der erste Trojaner wurde im Februar 2012 erstellt und verwendete ein Exploit in Microsoft Word, um Zugriff zu erhalten. Die zweite Variante von SabPub, die im März 2012 erstellt wurde, griff MacOS X an, indem sie dort eine Java-Schwachstelle ausnutzte. Hatte die maßgeschneiderte Backdoor einen Rechner infiziert, war sie in der Lage, Screenshots von der aktuellen Sitzung des Anwenders zu erstellen und Befehle auf dem befallenen Computer auszuführen. Zum gegenwärtigen Zeitpunkt greift die Gruppe, die hinter SabPub steht, weiterhin aktiv Computer an.

Neue Spam-Kampagnen unter Verwendung des BlackHole Exploit Kits

Aktive Spam-Kampagne auf Twitter

Kaspersky Lab entdeckte eine neue laufende Spam-Versendung auf Twitter, im Zuge derer mehr als 500 Konten kompromittiert wurden. Die unerwünschten Nachrichten enthielten Links, die Nutzer auf schädliche Webseiten mit dem BlackHole Exploit Kit umleiteten. Diese Seiten installierten Scareware in Form von gefälschten Antiviren-Benachrichtigungen auf dem betroffenen Computer, in denen der Anwender aufgefordert wurde, sein System auf Infektionen zu scannen. Die Nutzer von Kaspersky-Lab-Produkten waren von Anfang an vor dieser Versendung geschützt – die darin enthaltenen Bedrohungen wurden als Trojan-FakeAV.Win32.Agent.dqs und Trojan-FakeAV.Win32.Romeo.dv erkannt.

US Airways: Phishing-Mails

Anfang April berichtete Kaspersky Lab von einer Phishing-Attacke, die Ende März begonnen hatte und bei der Nutzer gefälschte E-Mails von US Airways erhielten. Cyberkriminelle versuchten, die Anwender mit Hilfe der Phishing-Mails dazu zu bringen, auf einen Link in der Mitteilung zu klicken, der angeblich zu „Informationen zur Online-Reservierung“ inklusive Anweisungen für den Check-in führte. Klickte der Anwender auf einen solchen Link, so landete er auf einer gefälschten Webseite, die das Exploit-Pack BlackHole Exploit Kit sowie eine erweiterte Version des Schädlings Zeus (GameOver) enthielt. Diese Banking-Malware installiert sich selbst auf dem Computer und stiehlt dort Anmeldedaten für das Online-Banking. Diese Spam-Nachrichten wurden in großen Mengen versendet, wobei die Online-Gangster darauf setzten, dass einige der Empfänger Flüge bei US Airways gebucht hatten und damit auf auf den entsprechenden Link klicken.

Mobile Malware

Japanische Android-Anwender im Fadenkreuz

Derzeit ist der größte Teil der Malware für Android auf bestimmte Regionen ausgerichtet, wobei Cyberkriminelle in verschiedenen Ländern unterschiedliche Arten von Schädlingen entwickeln, um Nutzer in bestimmten Ländern anzugreifen. Mit anderen Worten: Die Wahrscheinlichkeit ist äußerst gering, dass das Gerät eines Android-Users aus Russland von chinesischer Malware infiziert wird. Trotzdem bedeutet das nicht, dass die Zahl der Infektionen – und die Höhe des Profits – die von den Hackern erzeugt wird, nicht steigen würde.

Auch Japan hat mit regionaler mobiler Malware zu kämpfen – und die wird in letzter Zeit immer aktiver. Anfang April wurde ein neuer Typ von Android-Malware entdeckt, der von japanischen Virenautoren programmiert wurde und der Android-Geräte in Japan zum Ziel hat. Dieser Schädling wird von Kaspersky Lab als Trojan.AndroidOS.FakeTimer erkannt.

Leider waren fast 30 unterschiedliche schädliche Apps bei Google Play verfügbar und mindestens 70.000 Nutzer haben eine davon heruntergeladen. Dieser Schadprogramm-Typ ist in der Lage, sich mit einem entfernten Server zu verbinden. Ist die Verbindung erfolgreich, lädt er dort eine MP4-Videodatei herunter. Er kann zudem sensible Informationen von einem infizierten Gerät stehlen, darunter Namen, E-Mail-Adressen und Telefonnummern aus der Kontaktliste.

TigerBot – wieder mal ein SMS-Bot

Via SMS kontrollierte mobile Malware wird immer populärer. Im April wurde eine weitere Backdoor mit dem Namen TigerBot entdeckt. Dieser Schädling tarnt sich nach der Infektion selbst und hinterlässt keine Spuren seiner Existenz. Überprüft der Anwender die Liste der laufenden Prozesse auf seinem mobilen Gerät, so kann er den Prozessnamen von TigerBot nicht identifizieren, auch nicht als „System“. Die Malware registriert einen Empfänger mit der Bezeichnung „android.provider.Telephony.SMS_RECEIVED“, um alle eingehenden SMS abzufangen und zu überprüfen, ob sie einen bestimmten Befehl enthalten oder nicht.

Verschiedene Befehle führen zur Aufzeichnung von Telefongesprächen, dem Diebstahl von GPS-Koordinaten, dem Versenden von SMS oder der Änderung der Netzwerkeinstellungen. Alle diese Funktionen können ein ernsthaftes Datenleck verursachen. Die Malware ist zudem in der Lage, infizierte Telefone neu zu booten, auch wenn das aller Wahrscheinlichkeit nach nicht passieren wird, da es den Anwender auf ein Problem mit seinem Gerät aufmerksam machen würde.

Glücklicherweise gibt es keinen Hinweis darauf, dass TigerBot auf Google Play verfügbar war (oder ist). Dennoch sollte man unbedingt vorsichtig sein, wenn man Anwendungen von irgendeiner Ressource installiert.

Kaspersky Mobile Security führt diese Bedrohung unter der Bezeichnung Backdoor.AndroidOS.TigerBot.

Top 10 im April


Geografische Darstellung des Infektionsrisikos beim Surfen im Internet

 
Top 10 der schädlichen Domain-Zonen

 
Top 10 der Länder, auf deren Ressourcen Schadprogramme platziert sind

Top 10 der Internet-Schädlinge

1 URL malveillante 87,6 % -
2 Trojan.Script.Iframer 2,9 % -
3 Trojan.Script.Generic 2,4 % -
4 Trojan.JS.Popupper.aw 0,4 % 4
5 Trojan.Win32.Generic 0,3 % -1
6 Trojan.JS.Agent.bxw 0,3 % neu
7 Exploit.Script.Blocker 0,3 % neu
8 Trojan-Downloader.Win32.Generic 0,2 % neu
9 Trojan-Downloader.Script.Generic 0,2 % -4
10 Trojan.JS.Redirector.ux 0,2 % neu

 
Verteilung der Exploits nach angegriffenen Anwendungen


Anzahl neuer Signaturen für MacOS-X-Bedrohungen im März und April 2012

Top 10 der Länder, in denen die Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind

1 Russland 50,0% -
2 Armenien 47,1% -
3 Weißrussland 45,0% 1
4 Kasachstan 44,4% -1
5 Aserbaidschan 42,9% -
6 Usbekistan 42,7% 2
7 Sudan 41,7% -
8 Ukraine 40,3% -2
9 Moldawien 36,0% neu
10 Bangladesch 35,9% -

 

Top 10 der Länder, in denen die Computer dem geringsten Risiko einer Infektion über das Internet ausgesetzt sind

1 Burkina Faso 6,82% 5
2 Mali 6,85% neu
3 Benin 7,89% -1
4 Japan 8,14% -1
5 Taiwan 9,58% -4
6 Luxemburg 10,29% neu
7 Dänemark 11,19% 4
8 Südafrika 11,80% neu
9 Senegal 11,97% neu
10 Elfenbeinküste 11,98% neu

Weiterführende Links
Artikel
Malware-Aktivität im März 2012
Malware-Report für Februar 2012
Malware-Report für November 2011
Malware-Aktivität im Oktober 2011
Top 20 der Schadprogramme im August 2011
Viruslist-Nachrichten
Kaspersky Lab präsentiert seine Top 20 der Schadprogramme für April 2009
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen