Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr    
     
     
Über die Autoren des Tagebuches
Über die Autoren des Tagebuches

Das Analytiker-Tagebuch ist ein weblog, das von den Analytikern des Kaspersky Lab unter der Leitung von Eugene Kaspersky unterhalten wird. Erfahren Sie mehr über die Autoren des weblog.

Cybercrime Umfrage

Sobald Sie Ihren PC mit dem Internet verbinden, wird er zu einem potenziellen Ziel für Cyberkriminelle. Genauso wie Einbrecher bei einem ungesicherten Haus leichtes Spiel haben, ist ein ungeschützter PC wie eine offene Einladung an Autoren von Malware. Cyberbedrohungen werden nicht nur immer raffinierter, sondern nehmen auch ständig zu: Unser Antiviruslabor verzeichnet derzeit über 17.000 neue Internetbedrohungen pro Tag.

Zur Umfrage

 

  Home / Weblog

Analytiker-Tagebuch

Kaffee mit Schädling gefällig?


  Maria Vergelis       16 April 2014 | 11:56  MSK

Ihr Kommentar  

Um einen Empfänger dazu zu bringen, einen schädlichen Anhang zu öffnen, setzen Cyberkriminelle in der Regel auf Mail-Schablonen. Und hier kommen meist zwei Hauptbestandteile zum Einsatz: ein bekannter Absendername (Bank, soziales Netzwerk, Provider oder irgendeine andere Organisation, mit der der Empfänger sehr wahrscheinlich etwas zu tun hat) plus ein neugierig machender oder erschreckender Betreff. Diese beiden Kriterien versuchten die Cyberkriminellen auch zu berücksichtigen, als sie im Namen der weltgrößten Kaffeehauskette, Starbucks, eine Attacke auf die Anwender organisierten.

 

In den Mitteilungen der von Kaspersky Lab entdeckten Versendung hieß es, dass wenige Stunden zuvor ein Freund des Empfängers eine Bestellung für diesen zu einem besonderen Anlass aufgegeben habe. Dabei habe der Freund um Wahrung seiner Anonymität gebeten, um die Spannung aufrecht zu erhalten und den Empfänger dazu zu veranlassen, zu dem Treffen zu erscheinen. Zu diesem Anlass hätten die Mitarbeiter des Cafés nun ein traumhaftes Menü zusammengestellt, mit dem der Empfänger sich schon im Vorwege vertraut machen könne, indem er den Anhang öffnet, in dem ihm auch gleichzeitig der Ort und die genaue Zeit der Zusammenkunft mittgeteilt würden. Die Mails schlossen mit den besten Wünschen für den bevorstehenden Abend.

Allen Mitteilungen der Versendung wurde höchste Priorität zugeschrieben. Dabei änderten sich die Adressen der Absender, die bei den kostenlosen Services Gmail и Yahoo! registriert waren, von Mail zu Mail, wobei es sich um willkürlich generierte Wortgefüge des folgenden Typs handelte incubationg46@, mendaciousker0@ usw.

Der Anhang enthielt eine ausführbare Datei, wobei sich die Cyberkriminellen noch nicht einmal die Mühe gemacht hatten, sie mit Hilfe eines Archivs oder einer doppelten Erweiterung zu tarnen. Offensichtlich hatten sie gehofft, dass der erfreute Empfänger die Datei öffnet, ohne lange nachzudenken. Kaspersky Lab detektiert die angehängte Datei als Trojan-Spy.Win32.Zbot.sapu, eine Modifikation eines der populärsten Spionageprogramme der Familie Zbot (ZeuS). Diese Programme werden von Gangstern benutzt, um verschiedene vertrauliche Informationen zu stehlen. Und dieser Zbot ist zudem in der Lage, den Schädling Rootkit.Win32.Necurs oder Rootkit.Win64.Necurs zu installieren, der die Arbeit von AV-Programmen und anderen Schutzlösungen stark behindert.


Allgegenwärtiger Familienvater


  Maria Rubinstein        8 April 2014 | 18:50  MSK

Ihr Kommentar  

Viele Websites zeigen dem Anwender je nach dem, in welchem Land er sich befindet, unterschiedliche Texte an. Einige Portale können beispielsweise auf der Startseite standardmäßig Nachrichten oder Wettervorhersagen aus der Region, in der der Anwender sich gerade befindet, anzeigen - in der berechtigten Annahme, dass solche Informationen ihn in erster Linie interessieren.

Diese Möglichkeit steht selbstverständlich auch Spammern und Betrügern jeglicher Couleur zur Verfügung.

Die folgende E-Mail in spanischer Sprache bewirbt einen einfachen Weg, sich im Netz etwas dazu zu verdienen:



Der Link aus der Mail führt auf die Seite times-financials.com, die den Daten von whois zufolge im Oktober letzten Jahres registriert wurde:





"Familienvater aus Moskau verdient 14.000 Dollar im Monat " verkündet die Überschrift.

Aus Moskau? Hmmm…

Versuchen wir einmal auf dieselbe Site über den Proxy proxyvpn.se zu gelangen:





Hier stammt der Familienvater bereits aus New York.

Tauscht man übrigens in der Adresse der Seite die Sprache aus, und schreibt dort EN an Stelle von ES, so wird die Website nicht auf Spanisch, sondern in englischer Sprache angezeigt:





Und schreibt man FR, so erscheint sie dementsprechend auf Französisch:





Bedient man sich eines deutschen Proxys, so weiß der „Vater“ gar nicht mehr, wo er sich befindet, und in der Überschrift wird auf gar keine Stadt der Welt verwiesen:





Der Link aus den „Artikeln“ bleibt dagegen immer unverändert – er führt auf die Website yourbinarysystem.com, die im Januar 2014 registriert wurde. Diese Website verspricht dem Nutzer märchenhafte Reichtümer, und ein Link dort führt seinerseits auf eine dritte Website mit einer ordinären Finanzpyramide.

Uns stehen bisher noch keine Mails mit Links auf den „Familienvater“ in anderen als der spanischen Sprache zur Verfügung, aber wir sind sicher, dass die „Autoren“ der Pyramide auch solche Versendungen zusammenstellen werden, denn wie sollten sie sonst die Aufmerksamkeit auf die Versionen ihrer Website in anderen Sprachen lenken? Sollten Sie so eine Mail erhalten, schicken Sie sie uns bitte zu!

Ein „Geschenk“ für treue Apple-Kunden


  Tatyana Shcherbakova       26 Februar 2014 | 15:30  MSK

Ihr Kommentar  

Im Januar stießen wir auf Phishing-Mails, die Cyberkriminelle im Namen von Apple verschickten. Die Schreiben enthielten das verlockende Angebot, eine Rabattkarte im Wert von 150 Euro in jedem beliebigen AppStore in Europa für insgesamt nur 9 Euro käuflich zu erwerben. Überdies wurde darauf hingewiesen, dass das Angebot ausschließlich für langjährige Kunden als Dank für ihre Loyalität gilt. Um den Antrag auf Erhalt der Karte auszufüllen, musste der treue Apple-Fan lediglich eine an die Mail angehängte HTML-Seite öffnen und die fehlenden Angaben eintragen, unter anderem seine vollständigen Kreditkarteninformationen, inklusive CVV – die dreistellige Prüfziffer – auf der Rückseite der Karte.

Im Gegenzug versprachen die Betrüger im Laufe von 24 Stunden, die Rabattkarte via E-Mail zu übermitteln. Doch das war natürlich wieder mal nur ein Trick, um die Anwender in die Irre zu führen – genau so wie die Verwendung des Apple-Logos und die automatische Signatur am Ende des Schreibens.

 

Cyberkriminelle haben es nicht nur auf die Login-Daten von persönlichen Accounts abgesehen, sondern auch auf die Bank- und Kreditkartendaten der User. Um an die gewünschten Informationen zu gelangen, versprechen sie das Blaue vom Himmel herunter. Für einen unerfahrenen Nutzer ist es nicht immer einfach, einen Betrug als solchen zu erkennen, doch die Aufforderung, seine vertraulichen Bankinformationen oder Login-Daten für persönliche Accounts bereitzustellen, ist ein zuverlässiges Merkmal für eine Phishing-Mail.


Geheimer Käufer: Vorsicht vor Fälschungen


  Tatyana Kulikova       26 Februar 2014 | 14:45  MSK

Ihr Kommentar  

Das Angebot, als „geheimer Käufer“ zu arbeiten, ist eine weit verbreitete Falle von Internet-Betrügern. Sie bieten Verdienstmöglichkeiten in der Freizeit an und senden – bei Einverständnis – einen gefälschten Scheck über eine sehr hohe Summe, die der neue Mitarbeiter mit dem Kauf von Waren und der Durchführung von Nachforschungen kompensieren soll. Das nach Ausführung der Arbeit verbleibende Geld gibt das Opfer den Betrügern zurück. Wenn also die Bank den gesendeten Scheck als Fälschung annulliert, kommt der unglückliche „geheime Käufer“ in die roten Zahlen.

Allerdings werden die Anwender in punkto Internet-Sicherheit immer beschlagener, und die Verbrecher müssen sich daher immer wieder etwas Neues einfallen lassen, um ihre Ziele zu erreichen. Ein Beispiel für eine solche neue Methode sind als Versendung einer großen Website, die auf „geheime Käufer“ spezialisiert ist, getarnte betrügerische Mails. In einem solchen Schreiben, das angeblich von dem Unternehmen Mystery Shopper Inc stammte, wurde auf eine Stellenbeschreibung verwiesen. Doch der dazugehörige Link hing mit einer anderen Ressource zusammen, die ebenfalls auf diese Art der Marktforschung spezialisiert ist. Die Adresse der echten Seite der Betrüger wurde erst nach dem Aufruf des angegebenen Links sichtbar. Selbstverständlich hatte er mit den offiziellen Ressourcen von Mystery Shopper Inc nicht das Geringste zu tun.

 

Auf der betrügerischen Seite wurden die Vorteilen der Arbeit als „geheimer Käufer“ angeführt, und um den gewünschten Job zu erhalten, forderten die Autoren den Empfänger auf, einen kurzen Antrag mit seinen persönlichen Daten auszufüllen (vollständiger Name, Alter, Post- und E-Mail-Adresse).

 

Ich habe den Antrag ausgefüllt und als Antwort eine Mail mit detaillierten Instruktionen zur Durchführung meiner Forschungstätigkeit als „geheimer Käufer“ erhalten. Am Ende des Briefes folgte die Versicherung, dass ein Scheck für alle nötigen Ausgaben an die im Antrag angegebene Adresse geschickt würde. Der wichtigste Beweis für den betrügerischen Charakter des Schreibens bestand in der Tatsache, dass als Kontaktinformation nicht die E-Mail-Adresse des Unternehmens angegeben wurde, in dessen Namen der Brief verfasst worden war, sondern die Adresse eines kostenlosen Mail-Accounts.

Um den Spammern nicht auf den Leim zu gehen, muss man lediglich einige Vorsichtsmaßnahmen beachten: Man sollte Mails ignorieren, die von Ressourcen stammen, auf denen man selbst nicht registriert ist. Man sollte zudem immer genau im Auge haben, auf welche Adresse der Link in einer Mail führt. Und schon geht die Versuchung, einen Haufen Geld von einem gefälschten Scheck auszugeben, ganz schnell wieder vorüber.

Erster TOR-Trojaner unter Android


  Roman Unuchek       25 Februar 2014 | 17:35  MSK

Ihr Kommentar  

Virenschreiber, die Android-Trojaner entwickeln, verwenden als Muster traditionell die Funktionalität von Windows-Schädlingen. Jetzt wurde eine weitere „Spielart“ von Windows-Trojanern in Android-Schädlingen umgesetzt, und zwar haben wir den ersten Android-Trojaner entdeckt, der als C&C eine Domain in der Pseudo-Zone .onion verwendet. Auf diese weise nutzt der Trojaner das anonyme Netzwerk Tor, das auf einem Netz von Proxy-Servern fußt. Tor gewährleistet den Anwendern nicht nur Anonymität, sondern ermöglicht auch die Platzierung von „anonymen“ Websites in der Domain-Zone .onion, auf die nur in Tor zugegriffen werden kann.

 

Bei dem Schadprogramm Backdoor.AndroidOS.Torec.a handelt es sich um den geänderten populären Tor-Client Orbot. Cyberkriminelle haben dieser Anwendung ihren Code hinzugefügt, wobei sich der Trojaner nicht als Orbot ausgibt - er verwendet einfach die Funktionalität dieses Clients.

 

Der Trojaner kann die folgenden Befehle vom С&C empfangen:

 


  • Abfangen eingehender SMS beginnen/beenden.

  • Diebstahl eingehender SMS beginnen/beenden.

  • USSD-Anfrage stellen.

  • Daten über das Telefon an das C&C senden (Telefonnummer, Land, IMEI, Modell, Betriebssystemversion).

  • Liste der auf dem mobilen Gerät installierten Anwendungen an das C&C senden.

  • Eine SMS an die im Befehl angegebenen Nummer senden.

Die Verwendung von TOR hat für Cyberkriminelle sowohl Vor- als auch Nachteile. Zu den Vorteilen gehört, dass ein derartiges C&C nicht abgeschaltet werden kann. Als Nachteil könnte man ansehen, dass zusätzlicher Code nötig ist. Um die Nutzung von Tor für den Schädling Backdoor.AndroidOS.Torec.a möglich zu machen, war weitaus mehr Code nötig als für seine eigentliche Funktionalität.


Nigerianisches Gelübde


  Tatyana Kulikova       21 Februar 2014 | 19:36  MSK

Ihr Kommentar  

Die Geschichten der nigerianischen Spammer zeichnen sich oft durch das Vermögen aus, ein und denselben betrügerischen Schachzug in verschiedenen Kontexten auszuspielen. In der Mehrheit geht es dabei um überaus tragische Situationen, die mit irgendjemandes Tod oder politischen Unruhen zu tun haben. Daher kann das Begehren, sein Geld in gute, wenn auch fremde Hände zu geben, unerwartet kommen, wenn es dabei um die Einlösung eines Gelübdes geht, das Gott gegenüber abgelegt wurde.

Doch genau aus diesem Grund hat sich angeblich ein gewisser Ingenieur entschlossen, eine Viertelmillion Dollar einem zufällig ausgewählten Internetnutzer zukommen zu lassen. Der Legende zufolge hat er vor einiger Zeit einen einträglichen Auftrag in Australien ausgeführt, wurde für seine Leistungen allerdings nicht bezahlt. In seiner Verzweiflung versprach der Ingenieur dem lieben Gott, irgendjemandem 250.000 Dollar zu zahlen, wenn er je in Besitz seines ehrlich verdienten Geldes kommen sollte. Selbstverständlich musste diese Geschichte ein Happy End haben. Gerade erst vor wenigen Tagen stimmte die australische angeblich Regierung zu, ihre Schulden bei Mister Brady vollständig zu begleichen. Und nun möchte auch der glückliche Ingenieur sein Versprechen einlösen und die Summe von 250.000 Dollar einem Unbekannten auszahlen – bei dem es sich natürlich um den Empfänger des Briefes handelt.

 

Und obgleich man bei Google unter der angegebenen Adresse eine Firma findet, die Herrn Brady gehört, sollte man die Mail mit dem Versprechen auf eine Viertelmillion Dollar nicht wirklich ernst nehmen. Auf den betrügerischen Charakter des Schreibens weist beispielsweise die Tatsache hin, dass der Gründer dieser großen Firma von der Domain fbi.gov aus schreibt.

Bleibt zu hoffen, dass sich niemand findet, der Mister Brady bei der Einlösung seines heiligen Gelübdes unterstützt und sich als zu Beschenkender zur Verfügung stellt. Denn ein Happy End für Betrüger erweist sich häufig als Tragödie für ihre Opfer.


Wollen Sie Ihre Spam-Versendungen wirklich abbestellen?


  Maria Vergelis       21 Februar 2014 | 13:12  MSK

Ihr Kommentar  

Die Spammer werden nicht müde, neue Wege zu suchen, um die Antispam-Filter zu umgehen und die Empfänger der Spam-Mitteilung in die Irre zu führen. Vor kurzem entdeckten wir eine Versendung, deren Autoren ihre Mails als automatische Antwort auf die Abmeldung von verschiedenen Newslettern tarnten. Im Betreff wurde das Bedauern über den Verlust eines Abonnenten ausgedrückt und auch noch einmal nachgefragt, ob der Empfänger tatsächlich auf diese Dienstleistung verzichten wolle.

 

Phrasen wie „Schade, dass Sie sich abgemeldet haben“ finden sich tatsächlich in automatischen Antworten auf die Abbestellung von Newslettern. Darauf folgte allerdings ein weniger typischer Text. Die Autoren der Mail informierten den Anwender, dass er sich nicht nur von einem Newsletter, sondern gleich von mehreren Versendungen mit Informationen zu beispielsweise den folgenden Themen abgemeldet habe:

  • Führerschein ohne MPU;
  • Privatinsolvenz;
  • Banklizenzen;
  • Firmengründung im Ausland;
  • Immobilien mit 50% Rabatt.

All das sind typische Themen von Spam-Versendungen, die in diesem Fall als thematische Newsletter ausgegeben werden. Was aber bringt einen nun dazu, an der Echtheit dieser „Abmeldungen“ zu zweifeln? Die Tatsache, dass an keiner Stelle der Mail darauf hingewiesen wird, vom Newsletter welchen Informationsportals, welcher Nachrichtenseite oder welcher Online-Zeitung der Anwender denn nun eigentlich abgemeldet wird.

Eine derartige Information fehlte auch in den Absenderdaten: Die Adresse der Mail-Domain des Absenders lautete „führerschein-jetzt.com“ (Spammer benennen neu erstellte Domains sehr häufig mit Phrasen oder Wörtern, die mit den angebotenen Dienstleistungen zusammenhängen), und die Domain wurde in demselben Monat erstellt, in dem diese Mails versendet wurden. Es gibt keinerlei Links auf die Ressource, wo man das Abonnement erneuern könnte. Es scheint, als hofften die Autoren darauf, dass der Anwender, wenn er sich für eins der Themen interessiert, selbst auf die Mail antwortet und dann das gesamte Spektrum an Spam zum ausgewählten Thema erhalten wird.

Durch eine noch größere Unverschämtheit zeichneten sich die Autoren einer anderen Versendung aus. Gegen die Bezahlung einer geringen Summe versprachen die Spammer dem Empfänger zu erzählen, woher sie seine E-Mail-Adresse haben und warum in seinem Postfach so viel Spam landet. Für die Auskunft, die letztlich dazu beitragen kann, sich die unerwünschten Nachrichten vom Halse zu halten, verlangten die unbekannten „Wohltäter“ ganze 3,5 Dollar. Für die Bezahlung der Dienstleistung sollte der Anwender den in der Mail enthaltenen Link aufrufen.

 

Der Link führte auf eine Seite mit der Bezeichnung „End of Spam“, wo die Preisliste schon etwas länger war. Gegen eine über PayPal gezahlte „Spende“ von $1,50 konnte der Nutzer sich angeblich von allen Spam-Versendungen freikaufen. Und gegen die etwas höhere Summe von 3,50 Dollar sollte er das „Geheimnis“ erfahren, wie die einen oder anderen Spammer an seine E-Mail-Adresse gekommen sind. Dabei empfahlen die Autoren der Versendung nachdrücklich, bei der Zahlung als Überweisungszweck die eigene E-Mail-Adresse anzugeben, damit „sie auch wüssten, wen sie abmelden sollen“.

 

Alle Links führten auf eine PayPal-Seite mit fertigem Bezahl-Dokument. Wenn der Anwender bereits in dem Bezahlsystem registriert war, musste er lediglich auf den Button „Bezahlen“ klicken und damit sein Geld in die unendlichen Weiten des Internets senden.

Selbstverständlich bereiten die beschriebenen Maßnahmen dem Strom aufdringlicher Spam-Mails kein Ende – es ist sehr unwahrscheinlich, dass die Autoren der Versendung alle Spammer dieser Welt kennen und diese wiederum auf Anfrage des Anwenders alle von ihnen organisierten Spam-Versendungen stoppen. Vielmehr könnten die „Wohltäter“, nachdem sie das Geld erhalten haben, nicht nur die unerwünschte Korrespondenz nicht einstellen, sondern sie, im Gegenteil, noch ausweiten, da sie sich von der Gültigkeit der Adresse und der Naivität ihres Inhabers überzeugt haben. Und im schlimmsten Fall nutzen sie die bei der Bezahlung angegebenen persönlichen Daten zu unlauteren Zwecken aus.

Virtuelle Bitcoins vs. reales Geld


  Tatyana Kulikova       20 Februar 2014 | 17:38  MSK

Ihr Kommentar  

Die Feiertage zum Ende des Jahres mit all den Geschenken, dem guten Essen, der Deko und der Festtagsgarderobe sind eine Herausforderung für jedes Budget. Daher ist es nicht erstaunlich, dass die Spammer nach dem Jahreswechsel verstärkt angeblich lukrative Verdienstmöglichkeiten im Netz bewerben. In massenhaften Versendungen setzen sie immer häufiger Bitcoins als Köder ein – die Kryptowährung, die man gegen Rechenleistung erhält. In Zeitungen und Zeitschriften ist immer mal wieder von Millionären zu lesen, die ihr Vermögen mit Hilfe dieser virtuellen Währung gemacht haben, was wiederum den Spammern in die Hände spielt, die hoffen, die Popularität dieser Geldeinheit zu ihren Zwecken ausnutzen zu können. Diese Hoffnung ist umso begründeter, da der Kurs dieser Währung nach jüngsten Beobachtungen stetig steigt (derzeit kostet 1 Bitcoin beispielsweise ca. 285 Euro), und die Bereicherung durch den Verdienst von Bitcoins durchaus real und attraktiv erscheint.

Das Thema „Verdienen mit Bitcoins“ wird von den Spammern völlig unterschiedlich eingesetzt. In einer von uns entdeckten Versendung wird auf den Investment-Trick eines Bitcoin-Millionärs verwiesen. Den Versprechungen in der Mail zufolge lassen sich mit Hilfe dieses Tricks anderthalbtausend Dollar pro Tag verdienen, selbst ohne Bitcoins zu kaufen.

 

Der Link in der Mail führt auf eine farbenfrohe Webseite, auf der ein gigantisches Einkommen versprochen wird! Um auf die Software, die den gewünschten Gewinn erst möglich macht, zugreifen zu können, muss lediglich die E-Mail-Adresse angegeben werden.

 

Wer sich bei einem solchen Projekt einschreibt, wird wohl kaum reicher werden. Bei derartigen Angeboten handelt es sich um verdeckten Finanzschwindel, aus dem ausschließlich der Organisator seinen Vorteil zieht. Dafür gelangt die auf der Website hinterlassene E-Mail-Adresse in eine Spammer-Datenbank und ihr Inhaber wird noch lange Zeit verschiedene „verlockende Angebote“ erhalten.

Eine andere von uns entdeckte Versendung enthielt das Angebot, Bitcoins in einer Lotterie zu erspielen. Dem Schreiben zufolge wurde der Anwender für die Teilnahme von dem Lotterie-Unternehmen ausgewählt, und er müsse jetzt lediglich eine Datei laden und installieren, bevor die Ziehung vorbei sei. Leider erwies es sich als technisch unmöglich, die Datei zu öffnen und deren Inhalt einzusehen, daher lassen sich über den weiteren Gang der Ereignisse nur Vermutungen anstellen. In jedem Fall sollte ein Schreiben von einer unbekannten Person, in dem der Gewinn einer märchenhaften Summe in einer ebenfalls völlig unbekannten Lotterie in Aussicht gestellt wird, Misstrauen erwecken. Und der Download einer Datei über einen Link, der in einer solchen Mail enthalten ist, kann eine absolut reale Bedrohung für den Computer darstellen.

 

In einem weiteren Schreiben wurde ein spezielles Programm zum Kauf angeboten, mit dem die bekannte Kryptowährung angeblich erwirtschaftet werden kann. Um ein hohes und stabiles Einkommen zu erzielen, ist nach Angaben der Spammer lediglich eine Investition von 7 Dollar nötig. Nachdem er diese Summe gezahlt hat, wird der Nutzer allerdings kaum irgendeinen Gewinn erzielen. Vielmehr wird versucht werden, ihn in einen Finanzschwindel hineinzuziehen, wobei jegliche Einnahmen in den Händen der Organisatoren landen.

 

Derzeit wird das Bitcoin-Mining mit der Suche nach Goldadern zu Zeiten des großen Goldrausches verglichen. Je mehr Bitcoins produziert werden, desto schwerer ist es, sie zu schürfen. Während ursprünglich nur ein gewöhnlicher PC erforderlich war, um Einnahmen in Form der Kryptowährung zu erzielen, so müssen nun zunächst spezielle „Miningfarmen“ geschaffen werden, was große finanzielle Investitionen erforderlich macht. Doch nur so können heute neue Bitcoins erwirtschaftete werden, wobei Aufgaben von solcher Komplexität gelöst werden müssen, dass ein einfacher PC 5-6 Jahre damit beschäftigt wäre. All das zeugt davon, dass es technisch nicht möglich ist, irrsinnige Reichtümer in virtueller Währung zu verdienen – so verlockend die Versprechungen der Spammer auch klingen mögen. Und das heißt wiederum, dass es sich nicht lohnt, über Angebote nachzudenken, in denen es heißt, man könne „viel Geld mit nur wenigen Stunden pro Tag am Computer verdienen“.


Fußball-WM: Spammer in der Offensive


  Tatyana Shcherbakova       12 Februar 2014 | 17:25  MSK

Ihr Kommentar  

Das Jahr 2014 wartet mit gleich zwei sportlichen Großereignissen auf: den Olympischen Winterspielen in Sotchi und der Fußball-Weltmeisterschaft in Brasilien. Im November berichteten wir bereits über betrügerische Versendungen, die die WM zum Thema hatten, wobei die Autoren versuchten, den Nutzer mit einem frei erfundenen Lotteriegewinn zu ködern. Im Januar stieg die Zahl derartiger Versendungen an. Der Plot der von uns entdeckten Mails war immer gleich: Dem Anwender wurde mitgeteilt, dass seine E-Mail-Adresse, die nach dem Zufallsprinzip aus Millionen anderen ausgewählt wurde, in einer Lotterie gewonnen habe und er nun einen gigantischen Gewinn erhalten würde. Um das ihm zustehende Geld entgegennehmen zu können, müsse der Empfänger sich zunächst mit den Organisatoren über die im Schreiben angegebene Adresse bzw. Telefonnummer in Verbindung setzen.

Der Körper der entdeckten Mails war entweder leer oder enthielt nur eine einzige Phrase „Für weitere Informationen siehe Anhang“ oder einfach „Öffnen Sie den Anhang“. Der Inhalt der angehängten Datei mit zusätzlichen Informationen, die die Betrüger zu öffnen baten, war von Mail zu Mail unterschiedlich, ebenso wie das Format des Anhangs - JPEG, PDF oder DOC. Diese Datei enthielt alle Informationen über den Gewinn, und der Name des Preises hatte stets Bezug zur FIFA oder der WM. Zudem arbeiteten die Spammer beim Layout mit dem Logo der WM, dem des Hauptpreises und mit Fotografien der Verkündung des Gastgeberlandes der WM 2014.

 

Ende Januar stießen wir zudem auf eine Versendung mit schädlichen Anhängen, die die bevorstehende  Weltmeisterschaft in Brasilien ausnutzte. In einem gefälschten Schreiben im Namen der Website copa2014.gov.br - dem offiziellen Verbindungskanal der brasilianischen Regierung mit der Presse für FIFA-Belange – wurde dem Nutzer zum Gewinn zweier Tickets für die Fußballweltmeisterschaft gratuliert. Der glückliche Gewinner könne sich die elektronischen Eintrittskarten ausdrucken, indem er auf den in der Mail angegebenen Link klickt. Fiel der Anwender auf diesen Trick herein, so lud er sich an Stelle der gewünschten Tickets ein Schadprogramm des Typs Trojan-Downloader auf seinen Computer, der seinerseits den Wurm Worm.VBS.Dinihou lud. Dieser Wurm wird nicht nur zum Laden und Ausführen von Drittdateien ohne Wissen des Anwenders eingesetzt, sondern er infiziert auch an den Computer angeschlossene USB-Speicher. Um dem Ganzen einen legitimen Anstrich zu verleihen, verwendeten die Cyberkriminellen das WM-Logo, und eine auf den ersten Blick vertrauenswürdige Adresse im Absenderfeld. Schaute man jedoch einmal genauer hin, so konnte man sehen, dass im Schreiben die Domain .com und nicht .gov angegeben war, was eindeutig auf eine Fälschung hinweist.

 

Unsere brasilianischen Kollegen entdeckten ähnliche Schadversendungen. Deren Autoren boten den Nutzern kostenlose Tickets für die Fußball-Weltmeisterschaft an, inklusive eines Gratis-Fluges nach Brasilien sowie andere „Geschenke“. Im Visier der Verbrecher standen hierbei die persönlichen Daten des Anwenders, in erster Linie seine Kreditkarteninformationen.

Auch kleine und mittelständische Unternehmen ließen sich die Möglichkeit nicht entgehen, ihre Waren und Dienstleistungen im Vorfeld der Fußball-WM zu bewerben und schickten den Anwendern Angebote über mobile Dienstleistungen auf dem Territorium Brasiliens zu vorteilhaften Preisen.

 

Chinesische Fabriken und Betriebe boten Hüllen für Smartphones bekannter Hersteller mit den Wappen verschiedener Nationalteams an.

 

Große globale Ereignisse werden von Spammern gern zu den verschiedensten Zwecken ausgenutzt – von gewöhnlicher Reklame bis zum Abgreifen von Finanzmitteln und dem Diebstahl persönlicher Informationen. Daher sollte man mit unerwünschter Korrespondenz äußerst vorsichtig umgehen. Mails, die von einem unerwarteten Lotteriegewinn oder dem plötzlichen Erhalt teurer Tickets künden, können materiellen Schaden verursachen und zur Ursache einer Computerinfektion werden.


Die Careto-/Mask-APT-Attacke: Frequently Asked Questions


  Global Research and Analysis Team of Kaspersky Lab       11 Februar 2014 | 12:00  MSK

Ihr Kommentar  

Was genau ist Careto / "The Mask”?

The Mask ist ein hochentwickelter Bedrohungsakteur, der seit mindestens 2007 an Cyberspionage-Operationen beteiligt ist.

Das Besondere an The Mask ist die Komplexität der von den Angreifern eingesetzten Auswahl von Tools, die ein extrem anspruchsvolles Schadprogramm, ein Rootkit, ein Bootkit, Versionen für Mac OS X und Linux sowie mögliche Versionen für Android und iPad/iPhone (iOS) einschließt.

The Mask setzt zudem eine maßgeschneiderte Attacke gegen ältere Kaspersky Lab-Produkte ein, um sich auf diese Weise im System zu verbergen. Dadurch steht dieser APT in punkto Raffinesse noch über Duqu, und wird so zu einer der zum gegenwärtigen Zeitpunkt am höchsten entwickelten Bedrohungen. Das und einige andere Faktoren lassen uns vermuten, dass es sich um eine von einem Nationalstaat gesponserte Operation handelt.

Woher kommt der Name "The Mask"?

Die Bezeichnung "Mask" kommt von dem spanischen Slang-Ausdruck "Careto" ("Maske" oder "Hässliches Gesicht "), das der Autor in einige Module der Malware einfließen ließt.


Wer sind die Opfer? / Was können wir über die Ziele der Angriffe sagen?

Die Hauptziele von Careto fallen unter die folgenden Kategorien:

  • Regierungsinstitutionen
  • Diplomatische Einrichtungen und Botschaften
  • Energie-, Öl- und Gasunternehmen
  • Forschungsinstitutionen
  • Private Immobilienfirmen
  • Aktivisten

Ist die genaue Zahl der Opfer bekannt?

Obgleich die genaue Zahl der Opfer nicht bekannt ist, registrierten wir Opfer an über 1000 IP-Adressen in 31 Ländern. Infektionen wurden in den folgenden Ländern beobachtet: Ägypten, Algerien, Argentinien, Belgien, Bolivien, Brasilien, China, Costa Rica, Deutschland, Frankreich, Gibraltar, Guatemala, Irak, Iran, Kolumbien, Kuba, Libyen, Malaysia, Marokko, Mexiko, Norwegen, Pakistan, Polen, die Schweiz, Spanien, Südafrika, Tunesien, Türkei, USA, Venezuela und das Vereinigte Königreich.

Auf einem von uns entwickelten Identifizierungsalgorithmus basierend, zählten wir über 380 individuelle Opfer unter diesen1000+ IPs.

Bedenkt man jedoch, dass die Informationen über die Opfer nur für einige Command-und-Control-Server sowie Hosts, bei denen ein Sinkhole installiert wurde, zusammengetragen wurden, so könnte die Gesamtzahl der betroffenen Länder und individuellen Opfer wesentlich höher sein.

Was tut Careto? Was passiert, nachdem ein Zielrechner infiziert wurde?

Für die Opfer ist eine Infektion mit Careto verheerend. Die Malware schleust sich in alle Kommunikationskanäle ein und fängt alle lebensnotwendigen Informationen von einem infizierten System ab. Die Detektion ist aufgrund der Rootkit-Fähigkeiten extrem schwierig. Ergänzend zu den integrierten Funktionen können die Careto-Betreiber zusätzliche Module hochladen, die jegliche schädliche Tasks ausführen können. Ausgehend von der Art der bekannten Opfer sind die Auswirkungen überaus schwerwiegend.

Wie infiziert Careto Computer?

Die von Kaspersky Lab aufgedeckte Kampagne von The Mask fußt auf Spear-Phishing-Mails mit Links auf eine schädliche Website. Diese Website enthält eine Reihe von Exploits, die entwickelt wurden, um den Besucher in Abhängigkeit von seiner Systemkonfiguration zu infizieren. Bei erfolgreicher Infektion leitet die schädliche Website den Nutzer auf eine harmlose Website um, auf die in der E-Mail hingewiesen wird, wobei es sich um einen Film auf YouTube oder ein Nachrichtenportal handeln kann.

Wichtig dabei ist, dass die Exploit-Websites einen Besucher nicht automatisch infizieren. Die Angreifer bringen die Exploits vielmehr in speziellen Ordnern auf der Website unter, auf die nirgends direkt verwiesen wird, außer in den schädlichen E-Mails. Manchmal nutzen die Angreifer Subdomains auf den Exploit-Websites, um sie legitim erscheinen zu lassen. Diese Subdomains geben vor, Unterabteilungen der wichtigsten Tageszeitung Spaniens zu sein bzw. einiger internationaler Zeitungen, wie The Guardian und Washington Post.

Nutzen die Angreifer irgendwelche Zero-Day-Sicherheitslücken aus?

Bisher konnten wir Angriffe mit mehreren Vektoren beobachten. Das schließt mindestens ein Exploit für den Adobe Flash Player (CVE-2012-0773) ein. Das Exploit wurde für die Versionen des Flash Players früher als 10.3 und 11.2 entwickelt.

Die Sicherheitslücke CVE-2012-0773 wurde ursprünglich von VUPEN entdeckt und hat eine interessante Geschichte. Es war das erste Exploit, das die Chrome-Sandbox knackte und das beim Sieg des Contests CanSecWest Pwn2Own im Jahr 2012 benutzt wurde. Das Exploit löste gewisse Kontroversen aus, da sich das VUPEN-Team weigerte zu erklären, wie sie aus der Sandbox entkommen konnten, wobei sie behaupteten, sie planten das Exploit an ihre Kunden zu verkaufen. Es ist möglich, dass der Careto-Bedrohungsakteur das Exploit von VUPEN erworben hat.(Siehe die Geschichte von Ryan Naraine.)

Andere eingesetzte Vektoren schließen Social Engineering ein, wobei der User aufgefordert wird, eine JavaUpdate.jar-Datei herunterzuladen und auszuführen oder ein Chrome Browser-Plug-In zu installieren. Wir nehmen an, dass auch andere Exploits existieren, doch es ist uns nicht gelungen, sie von den Angriffsservern zu extrahieren.

Ist es eine reine Windows-Bedrohung? Welche Versionen von Windows werden angegriffen? Gibt es Varianten für Mac OS X oder Linux?

Bisher haben wir Trojaner für Microsoft Windows und Mac OS X beobachtet. Einige der Exploit-Server-Pfade enthalten Module, die anscheinend zur Infektion von Linux-Computern entwickelt wurden, doch wir haben bisher noch keinen Linux-Backdoor lokalisieren können. Zudem weisen einige der C&C-Logs darauf hin, dass auch Backdoors für Android und Apple iOS existieren könnten.

Gibt es irgendwelche Hinweise für eine mobile Komponente – iOS, Android oder BlackBerry?

Wir vermuten, dass ein iOS-Backdoor existiert, aber wir konnten ihn bisher noch nicht lokalisieren. Die Annahme basiert auf einem Debug-Protokoll von einem der C&C-Server, wenn die Opfer in Argentinien identifiziert und geloggt werden mit einem User Agent von "Mozilla/5.0 (iPad; CPU OS 6_1_3 wie Mac OS X) AppleWebKit/536.26 (KHTML, wie Gecko) Mobile/10B329”. Das scheint darauf hinzuweisen, dass es sich um ein iPad handelt, obwohl man sich ohne Sample nur schwerlich sicher sein kann.

Zudem vermuten wir, dass auch ein Android-Implantat existiert. Diese Annahme basiert auf einem spezifischen Versions-Identifier, der zu dem C&C-Server geschickt wird, welcher "AND1.0.0.0” ist. Es wurde Kommunikation mit diesem spezifischen Identifier über 3G-Links beobachtet, was auf ein mögliches mobiles Gerät hinweist.

Was unterscheidet diese von irgendwelchen anderen APT-Attacken?

Das Besondere an "The Mask" ist die Komplexität der von den Angreifern eingesetzten Auswahl an Tools, die ein extrem anspruchsvolles Schadprogramm, ein Rootkit, ein Bootkit, Versionen für Mac OS X und Linux sowie mögliche Versionen für Android und iPad/iPhone (iOS) einschließt.

The Mask setzt zudem eine maßgeschneiderte Attacke gegen ältere Kaspersky Lab-Produkte ein, um sich auf diese Weise im System zu verbergen. Dadurch steht dieser APT in punkto Raffinesse noch über Duqu, und wird so zu einer der zum gegenwärtigen Zeitpunkt am höchsten entwickelten Bedrohungen. Das und einige andere Faktoren lassen uns vermuten, dass es sich um eine von einem Nationalstaat gesponserte Operation handelt.

Wie ist KL auf diese Bedrohung aufmerksam geworden? Wer hat darüber berichtet?

Erstmals aufmerksam wurden wir auf Careto, als wir Versuche beobachteten, eine Sicherheitslücke in unseren Produkten auszunutzen, um die Malware im System "unsichtbar" zu machen.

Selbstverständlich hat das unser Interesse geweckt und unser Forschungsteam hat sich entschlossen, den Fall weiter zu untersuchen. Mit anderen Worten – die Angreifer zogen unsere Aufmerksamkeit auf sich, indem sie versuchten, Kaspersky-Lab-Produkte auszunutzen.

Obgleich die Sicherheitslücke in den Produkten gefunden und bereits vor fünf Jahren geschlossen wurde, besteht die Möglichkeit, dass es Nutzer gibt, die ihre Produkte noch nicht aktualisiert haben. In solchen Fällen kann das Exploit noch immer aktiv sein, obwohl es uns nicht davon abhalten kann, die Malware zu entfernen und das System zu säubern.

Gibt es verschiedene Varianten von Careto? Bestehen zwischen den Varianten entscheidende Unterschiede?

Careto ist ein überaus modulares System; es unterstützt Plug-Ins und Konfigurationsdateien, wodurch es ihm möglich wird, eine Vielzahl von Funktionen auszuführen.

Die Varianten von Careto haben unterschiedliche Kompilationszeitstempel, die bis in das Jahr 2007 zurückreichen. Die meisten Module wurden 2012 entwickelt.

Ist der von Careto genutzte Command-and-Control-Server noch immer aktiv? Konnte einer der C&C auf ein Sinkhole umgeleitet werden?

Zum gegenwärtigen Zeitpunkt sind alle bekannten Careto C&C-Server offline. Die Angreifer haben sie ab Januar 2014 abgeschaltet. Wir konnten zudem verschiedene C&C-Server auf ein Sinkhole umleiten. Dadurch war es uns möglich, statistische Daten zu dieser Operation zu sammeln.

Was genau wird von den angegriffenen Rechnern gestohlen?

Die Malware sammelt eine lange Liste von Dokumenten auf dem infizierten System, inklusive Chiffrierungsschlüssel, VPN-Konfigurationen, SSH-Schlüssel und RDP-Dateien. Es wurden zudem einige unbekannte Erweiterungen registriert, die wir noch nicht identifizieren konnten, und die etwas mit maßgeschneiderten Verschlüsselungstools aus dem Bereich Militär/Regierung zu tun haben könnten.

Hier die vollständige Liste der zusammengetragenen Dateien von den Konfigurationen, die wir analysiert haben:

*.AKF,*.ASC,*.AXX,*.CFD,*.CFE,*.CRT,*.DOC,*.DOCX,*.EML,*.ENC,*.GMG,*.GPG,*.HSE,*.KEY,
*.M15,*.M2F,*.M2O,*.M2R,*.MLS,*.OCFS,*.OCU,*.ODS,*.ODT,*.OVPN,*.P7C,*.P7M,*.P7Z,*.PAB,*.PDF,
*.PGP,*.PKR,*.PPK,*.PSW,*.PXL,*.RDP,*.RTF,*.SDC,*.SDW,*.SKR,*.SSH,*.SXC,*.SXW,*.VSD,
*.WAB,*.WPD,*.WPS,*.WRD,*.XLS,*.XLSX

Wird diese Attacke von einem Nationalstaat gesponsert?

The Mask setzt eine maßgeschneiderte Attacke gegen ältere Kaspersky Lab-Produkte ein, um sich im System zu verbergen. Überdies beinhaltet der APT ein Rootkit, ein Bootkit, Linux/Mac-Versionen und möglicherweise eine Version für Apple iOS. Dadurch steht diese Bedrohung in punkto Raffinesse noch über Duqu, und es macht sie zu einer der derzeit am höchsten entwickelten APTs.

Zudem konnten wir einen hohen Grad an Professionalität bei den Arbeitsabläufen in der Gruppe hinter dieser Attacke beobachten, inklusive Überwachung der Infrastruktur, Abbruch der Operation, Abwenden neugieriger Augen durch Zugriffsregeln, Verwendung von Wipe anstelle von Löschen für Log-Dateien usw. Dieses Sicherheitsniveau ist nicht normal für cyber-kriminelle Gruppen.

Das und verschiedene andere Faktoren lassen uns darauf schließen, dass es sich hierbei um eine Kampagne handelt, die von einem Nationalstaat gesponsert wird.

Wer ist dafür verantwortlich?

Die Suche nach dem Schuldigen ist eine schwierige Sache. Aufgrund seines unbeständigen Charakters ist es im Internet extrem kompliziert, eine eindeutige Zuordnung zu treffen

Einige Indizien, wie die Verwendung der spanischen Sprache, sind nicht besonders aussagekräftig, da sie in vielen Ländern gesprochen wird, unter anderem in Lateinamerika, Mexiko oder den Vereinigten Staaten (beispielsweise in Miami, wo es eine große spanischsprachige Community gibt).

Man muss zudem die Möglichkeit eines Angriffs unter falscher Flagge bedenken, bevor man irgendwelche Vermutungen über die Identität des Verantwortlichen ohne wirklich handfeste Beweise anstellt.

Wie lange waren die Angreifer aktiv?

Einige Samples von Careto wurden schon im Jahr 2007 kompiliert. Die Kampagne war bis Januar 2014 aktiv, doch während unserer Nachforschungen wurden die C&C-Server abgestellt

Das sind somit mindestens 5 Jahre. Wir können nicht ausschließen, dass die Angreifer die Kampagne in Zukunft wiederbeleben werden.

Verwendeten die Angreifer irgendwelche interessanten/hoch entwickelten Technologien?

Der Windows-Backdoor ist extrem raffiniert, und die Angreifer setzten eine Reihe von Technologien ein in dem Versuch, die Attacke so besser zu verbergen. Das schließt Einschleusungen in Systembibliotheken ein sowie Versuche, ältere Kaspersky-Lab-Produkte auszunutzen, um die Erkennung zu vermeiden.

Darüber hinaus decken die Exploits alle potentiellen Zielsysteme ab, inklusive Mac OS X und Linux. Zudem erfolgt die Kommunikation zwischen den verschiedenen Shellcode-Modulen über Cookies - eine recht ungewöhnliche Technik.

Detektiert Kaspersky Lab alle Varianten dieser Malware?

Ja. Unsere Produkte erkennen und entfernen alle bekannten Versionen der von den Angreifern benutzten Malware.

Sie wird unter den folgenden Bezeichnungen detektiert:

  • Trojan.Win32/Win64.Careto.*
  • Trojan.OSX.Careto

Gibt es Indicators of Compromise (IOCs) die den Opfern helfen, den Angriff zu identifizieren?

Ja, Informationen über IOCs sind in unserem detaillierten technischen Forschungsbericht enthalten.

Den vollständigen Bericht finden Sie hier.


[Download]

Nach oben  |  Archiv >>

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen