| |
Home / Weblog
Analytiker-Tagebuch

|
Vor einigen Tagen berichteten unsere Kollegen, dass Suchmaschinen als Ergebnis auf die Suchanfrage "Brittany Murphy" Websites liefern, die mit Malware verlinkt sind. Mittlerweile ist es nichts Neues mehr, dass Online-Kriminelle sich den Tod von Prominenten zunutze machen, wie’s unter anderem auch bei Michael Jackson der Fall war. Zwei Tage vor Heiligabend konnten wir einige Twitter-Accounts aufdecken, die sowohl zur Versendung von "Verdien-Geld-im-Internet"-Spam als auch zur Verbreitung von Links auf Malware genutzt werden. In beiden Fällen tauchte der Name Brittany Murphy auf. Hier einige Beispiele: Der jeweilige Text in Nachrichten dieser Art variiert. Charakteristisch ist jedoch, dass der erste Link immer echt ist, d.h. er führt auf eine Website, auf der tatsächlich über das angeschnittene Thema berichtet wird. Doch schon der zweite Link führt zu einer typischen Spam-Werbesite, auf der beschrieben wird, wie man im Internet Geld verdienen kann, verschiedene Waren angeboten werden usw. Der zweite Twitter-Typ, auf den wir gestoßen sind, ist unzweifelhaft schädlich. Diese Art von Beiträgen auf Twitter verwenden wie der erste Typ auch Brittany Murphys Namen, aber sie enthalten eine kurze bit.ly-URL, die direkt zu einem Schadprogramm führt: Theoretisch werden alle kurzen bit.ly-URLs auf Malware geprüft. Doch in diesem Fall sieht es so aus, als ob es einfach zu viele wären, um schnell genug bearbeitet zu werden. Der Link auf dem Screenshot wurde einen Tag, bevor wir darauf aufmerksam wurden, veröffentlicht und hat immer noch funktioniert. Dieser Twitter-Typ funktioniert nach dem Standard-Prinzip: Man klickt ihn an und wird auf eine schädliche Website umgeleitet: Was verbirgt sich hinter all diesen Video-Links? Malware natürlich, in diesem Fall handelt es sich um Packed.Win32.Krap.ag, der über eine Backdoor-Funktion verfügt. Er lädt außerdem gefälscht AV-Software auf die Anwendercomputer, die das Opfer "erwerben" muss, um angeblich auf dem Computer entdeckte “Viren” zu entfernen. Während ich diesen Blog schreibe, gibt es aktuell 6,950,994,912 Tweets über den Tod von Brittany Murphy und die Zahl steigt weiter. Erschwerend kommt hinzu, dass viele Twitter-User die Nachrichten der Betrüger weiter verbreiten, indem sie die Option "retweet" nutzen. Dadurch steigt sowohl die Zahl der schädlichen Links als auch die Zahl der potentiellen Opfer. Der Tod der Schauspielerin Brittany Murphy wird also auf zwei Arten von Cyberkriminellen ausgenutzt:
- Zum Versand von Spam, das mit Websites verlinkt ist, auf denen verschiedene Waren und Dienstleistungen angeboten werden.
- Zur Verbreitung von Malware.
Seien Sie also bitte sehr, sehr vorsichtig, wenn Sie Twitter (oder auch andere soziale Netzwerke) nach Beiträgen über Brittany Murphy durchsuchen. Das jeweilige Topthema des Tages wird immer von Cyberkriminellen ausgenutzt, aber Sie haben die Möglichkeit, den Betrügern das Geschäft zu verderben: Klicken Sie nicht auf Kurz-URLs und – was noch wichtiger ist – geben Sie keine verdächtig aussehenden Beiträge an Ihre Follower weiter.

|
Die Verbrechensrate steigt traditionell in der Feiertagssaison an und die Cyberkriminalität bildet da keine Ausnahme. Malware-Autoren, Spammer und Betrüger sind voll im Einsatz. Kürzlich haben sie die folgende Nachricht bei dem in Russland sehr beliebten sozialen Netzwerk "Odnoklassniki" eingeschleust: "Hi! Ich habe eine Neujahrsüberraschung für Dich (Emoticon) sende 21333 279 (unbedingt mit Leerstelle) an die Nummer 4460 und Du erlebst eine angenehme Überraschung! Wenn Du Dir Deine Überraschung nicht abholst, bin ich echt beleidigt (Emoticon)" Mit dieser Nachricht wollen sich die Online-Betrüger eindeutig ihr Festagskonto ein wenig aufbessern: Eine an die in der Mitteilung angegebene Nummer versendete SMS kostet – je nach Mobilfunkanbieter - zwischen 5 und 12 Dollar. Verschicken die Betrüger ähnliche Nachrichten an andere soziale Netzwerke wie VKontakte, Facebook und MySpace, so können sie einen wirklich guten Schnitt machen. Und da die Nachrichten anscheinend von Freunden oder Kontakten stammen, deren Accounts in Wahrheit aber gekapert wurden, fallen vermutlich viele auf den Schwindel herein. Genießen Sie die Feiertage, genießen Sie die Zeit mit Familie und Freunden und genießen Sie auch das Internet – doch seien Sie immer auf der Hut und lassen Sie sich nicht übers Ohr hauen!
Facebook: Money Mule oder Kreditkarte |

|
Bei meiner Suche nach Spam und anderen Betrügereien auf Facebook stieß ich auf den folgenden Link: Einiges habe ich aus Gründen des Datenschutzes und vor allem aus Sicherheitsgründen unkenntlich gemacht. Entscheidend an diesem Posting aber ist der Domainname. Die Leerzeichen vor und hinter dem Punkt sowie die Null anstelle eines "O" im "C0M" sind hier genau so wie in der Original-Spam-Mail. Wenn sich Spammer schon die Mühe machen, ihre Nachrichten zu verschleiern, lässt das auf einen gewissen Effekt der Spamfilter von Facebook schließen. Deformierte Links bedeuten, dass man einige Mühen auf sich nehmen muss, um die Website der Spammer tatsächlich besuchen zu können. Folgerichtig sind diejenigen Anwender, die nun derlei Mühsal in Kauf nehmen, auch eher bereit als andere, das zu kaufen, was auch immer ihnen am anderen Ende angeboten wird. Mit einem Klick auf den Link wird man sofort umgeleitet – und bemerkt es unter Umständen noch nicht einmal: Manche Webfilter-Software würde diese Art der Umleitung als verdächtig einstufen, auch wenn sie darauf ausgerichtet ist, Filter zu umgehen. Vielleicht wird dieser Redirect aber auch eingesetzt, um Einnahmen für ein "Partnerprogramm" zu erzielen, d.h. Leute, die Geld für Verweise kassieren. Und das ist die Website, zu der die Umleitung führt: "The Massachusetts Financial Journal". Die Betrüger verwenden GeoIP zur Standortbestimmung der Anwender und ändern den Namen des Finanzjournals dementsprechend. Die Überschrift riecht nach einer typischen Anwerbung für Money Mules: Es geht um einträgliche Arbeit von zu Hause aus – die klassische Art, potentielle Money Mules zu ködern. Darauf folgt eine nette, persönliche Story, die auch mit GeoIP arbeitet, um den User direkt einzubeziehen. Ganz egal also, wo auch immer der Anwender wohnt, die Betrüger finden seinen Standort heraus und ändern die Geschichte dahingehend, dass es den Anschein hat, sie habe sich irgendwo in seiner Nähe zugetragen. Und so geht es weiter: Auf dieser Seite kommen klassische Social-Engineering-Tricks zum Einsatz, um das Angebot legal erscheinen zu lassen. Google kommt ins Spiel und weiß nicht ein jeder, dass man mit GoogleAds Geld machen kann? Warum also nicht Google Profit nutzen? Das Prozedere ist dabei denkbar einfach: Und auch an Kommentaren, die potentielle Geldesel weiter anstacheln, mangelt es nicht: Leider ist die ganze Sache aber doch nur ein einziger Schwindel. Egal auf welchen der oben stehenden Links man auch klickt, immer landet man hier: Selbst wenn man auf einen Link mit dem Text "Google Profit" klickt, wird davon auf dieser Seite nichts erwähnt. Es gibt einen hinzugefügten Link und wer sich auskennt, ist sofort im Bilde, dass es sich dabei um eine klassische Money-Mule-Rekrutierung handelt: Versprochen wird die Möglichkeit gutes Geld von zu Hause aus zu verdienen – und zwar ohne jegliche Vorkenntnisse. Gibt man aber seine persönlichen Daten ein und klickt danach auf "Verfügbarkeit prüfen" ("Check availability"), so erinnert nichts mehr an einen Money-Mule-Schwindel. Um Zugriff auf die Option "Geheime Systeme durchsuchen" ("Search Secret Systems") zu erhalten, werden 2 Dollar fällig. Ein kurzer Blick auf das Kleingedruckte offenbart allerdings noch ganz andere Summen: "Am siebten Tag wird meine Kreditkarte automatisch für einen Zeitraum von 3 Monaten monatlich mit 89.26 Dollar belastet. Danach werden Ihnen keine Rechnungen mehr gestellt." Es handelt sich hierbei also nicht um einen herkömmlichen Money-Mule-Betrug, auch wenn zunächst alles danach aussieht. Eine Suche nach dieser speziellen Domain zeigt, dass es sich vielmehr um einen herkömmlichen Kreditkartenbetrug handelt, und zwar nach dem Schema: Kreditkartendaten abschöpfen, Kreditkarte belasten und sich mit dem Geld auf und davon machen... Interessant ist nun, dass auf diese betrügerische Art schon seit langem Money-Mules angeworben werden, das Schema nun aber zum Zwecke des Kreditkartenbetrugs umgemünzt wurde. Es gibt viele Arten, sich vor Internetbetrug zu schützen, doch eine goldene Regel sollten Sie immer beherzigen: Müssen Sie an einem Link Leerzeichen entfernen oder überflüssige Zeichen löschen, damit der Link funktioniert – lassen Sie es!!
mwcollectd veröffentlicht |
Heute wurde mwcollectd v4, ein low-interaction Honeypot zum Sammeln von Malware veröffentlicht. Obwohl das Grundgerüst in C++ geschrieben wurde, können Researcher durch die Python-Schnittstelle schnell und einfach neue Protokolle und Features hinzufügen. Wir sind glücklich, als Sponsor zu diesem Projekt beizutragen, das hauptsächlich von Georg Wicherski (einer unserer Virenanalysten in Deutschland) und Mark Schlösser (RWTH Universität Aachen) entwickelt wird. Der Honeypot is Open Source und steht unter der LGPL-Lizenz. Mehr Infos finden sich auf der mwcollectd-Projektseite. Ebenfalls empfehlenswert ist ein Blick auf libemu, das ebenfalls für mwcollectd verwendet wird.
SMS-Trojaner – kein Ende in Sicht |

|
Denis MaslennikovDas Erscheinen neuer Schädlinge für Smartphones holt schon lange keinen Hund mehr hinter dem Ofen hervor. Einige dieser Schädlinge sind allerdings durchaus interessant. Was unterscheidet zum Beispiel den neuen SMS-Trojaner Trojan-SMS.WinCE.Sejweek.a von seinen "Artgenossen"? Schauen wir uns diesen Fall einmal genauer an. Die meisten Schadprogramme, die Kurznachrichten mit einem bestimmten Inhalt an Premium-Nummern versenden, sind reichlich primitiv: SMS-Präfix und Kurznummer sind im Body der Schaddatei enthalten – sie sind also im Vorwege bekannt. Doch im Fall von Trojan-SMS.WinCE.Sejweek.a stellt sich alles ein wenig anders dar. Nach dem Start der schädlichen Datei wird der Versuch unternommen, über den Link http://today*******.cn/*****/*****/get.php eine XML-Datei auf das Smartphone zu laden. In dem Moment, in dem ich diesen Blog schreibe, sieht die Datei folgendermaßen aus: 
In eben dieser Datei sind enthalten: die Kurznummer, an die die SMS gesendet werden soll (Tag phone); der Text der Kurznachricht (Tag text) und das Intervall in dem die Nachrichten abgesetzt werden (Tag interval). Ist der Download der XML-Datei erfolgreich, so dechiffriert das Schadprogramm die Texte "YGLYGLMKTYGL" (Nummer, an die die SMS geschickt wird) und "YGLYGL" (Intervall, in dem SMS verschickt werden). Das Ergebnis der Entschlüsselung ist "1151" und "11". Das bedeutet, die Kurzmitteilung mit dem Text 60*** wird alle 11 Sekunden an die Nummer 1151 gesendet. Geht man davon aus, dass eine SMS an diese Premium-Nummer um die 40 Rubel (also etwas mehr als 1 US-Dollar) kostet, so kann man sich vorstellen, um welche Summen der Anwender gebracht wird, der sich mit diesem Schadprogramm infiziert hat.
Manchmal kehren sie zurück: Audio-Spam |

|
Natalya ZablotskayaSpam in Form von Textnachrichten und grafischen Darstellungen überrascht heutzutage niemanden mehr. Doch im unten stehenden Beispiel sind alle Informationen in einem angehängten mp3 File enthalten. 
Innerhalb von 4 Sekunden diktiert eine Frauenstimme die Adresse der Website, auf der Viagra und analoge Präparate zum Verkauf angeboten werden. Im Hintergrund ist wollüstiges Stöhnen zu hören (das dem unglücklichen User ganz offensichtlich überirdische Glückseligkeit versprechen soll). Um die Wahrscheinlichkeit zu erhöhen, die gewünschte Information unter derart erschwerten Bedingungen an den User zu bringen, werden Thema (cheap Viagra) und Ressource auch im Titel des Tracks genannt. 
Spam im mp3-Format wurde erstmals im Herbst des Jahres 2007 registriert. Damals wurden so Aktien verschiedener Unternehmen beworben, um auf diese Weise deren Kurs an der Börse hochzutreiben und sie daraufhin Gewinn bringend zu verkaufen. Aufgrund von unterschiedlichen Einschränkungen (große E-Mail-Menge, schlechte Audio-Qualität) solcher Spam-Versendungen konnte sich diese Art von unerwünschten Nachrichten nicht durchsetzen. Jetzt wenden sich Spammer allem Anschein nach erneut Versuchen mit „sprechender“ Werbung zu.
Original oder Fälschung? – Finden Sie die Fehler! |

|
Vor ein paar Monaten schrieb ich in meinem Weblog, wie die Autoren von gefakter AV-Software die neusten Entwicklungen auf dem Antiviren-Markt unter die Lupe nehmen, um diese dann zu kopieren. Auch mein Kollege Vyacheslav schreibt in seinem neuen Hintergrundartikel zu genau diesem Thema unter anderem über eine enorme Zunahme dieses Malware-Typs. Letzte Woche tauchten einige Exemplare auf, die vom Beginn einer neuen Ära in der Geschichte dieses Schadcodes zeugen. So sieht die Benutzeroberfläche von Trojan.Win32.FraudPack.acji aus: 
Und so sieht das Original aus: 
Zwei Dinge sind mir dabei besonders ins Auge gesprungen:
- Die Oberfläche des gefakten Anti-Viren-Programms ist der des Originals zum Verwechseln ähnlich
- Die Logos sind nicht gleich, aber die Fälschung trägt das Windows Security Center-Logo. Außerdem wird durch Verwendung des Namens einer legitimen kostenlosen Antivirenlösung der Eindruck verstärkt, es handle sich um ein authentisches Produkt
Mit anderen Worten perfektionieren die Fälscher von AV-Software ihre "Kunst" immer weiter und werden schon bald in der Lage sein, exakte Kopien echter Antiviren-Lösungen zu entwickeln - zumindest was die Benutzeroberfläche anbelangt. Das wird es auch erfahrenen Usern schwer machen, AV-Imitate auf den ersten Blick als solche zu erkennen. Das angeführte Beispiel verdeutlicht, dass es nicht mehr lange dauern wird, bis die Fälschungen mit dem bloßen Auge nicht mehr von legitimen Antiviren-Lösungen zu unterscheiden sind. Laut FBI liegt der durch Scareware bereits angerichtete Schaden bei ca. 150 Millionen US-Dollar, ein Wert, der ständig größer wird.
Brasilianische Virenschreiber: Jedem das Seine |

|
Brasilianische Virenschreiber stehen am Beginn einer neuen Epoche. Während sie bis vor kurzem noch an nahezu alle gestohlenen Adressen Spam-Mails mit Links auf Schädlinge versendeten, gehen sie jetzt dazu über, die Datenbanken der gestohlenen Adressen zu differenzieren. Mit anderen Worten versenden sie nun an jedes Land Spam mit Links auf eigens für dieses Land konzipierte Schädlinge. Hier ein Beispiel für eine Nachricht dieses Typs: 
Dieser Spamversand zielt speziell auf Opfer in Ecuador ab – viele Domains in den Empfängeradressen weisen direkt darauf hin. Um bei Domains wie hotmail.com das Land des potentiellen Opfers zu bestimmen, verwenden die Betrüger eine einfache Anfrage des Typs „POST“- an einen Remote-Server, auf dem ein PHP-Skript die Standorte der User verzeichnet. Ein Beispiel für eine solche Anfrage ist: server.com POST /In.php. Der Diebstahl von E-Mail-Adressen ist in der Regel recht simpel. Auf dem infizierten Rechner wird ein Code ausgeführt, der alle Adressen aus der Kontaktliste der Datenbank eines E-Mail-Programms ausliest. Im Programm Outlook Express werden sie z.B. aus der Datei .wab abgelesen. Brasilianische Virenschreiber sind also ganz offensichtlich bestrebt, neues Terrain zu erschließen - jedem Land sein eigenes Schadprogramm. Auf diese Weise versuchen sie die Wahrscheinlichkeit zu verringern, dass ein Sample Antiviren-Unternehmen in die Hände fällt, die keine regionalen Untersuchungen anstellen. Ein Beispiel dafür ist der Schädling, auf den der Link in der oben abgebildeten Spam-Nachricht verweist. Fast zwei Tage nach seinem Auftauchen wird er noch immer von vielen angesehenen Antivirenprogrammen nicht erkannt. Laut dem letzten Scan des Service Virustotal weist das Exemplar eine Erkennungsrate von 9/41 (21,96 Prozent) auf.

|
Wie erwartet, können wir mehr infizierte Rechner bestätigen. Unsere aktuelle Zählung sieht folgendermaßen aus: 7798 VEREINIGTE STAATEN VON AMERIKA 1765 INDIEN 1332 ARGENTINIEN 1244 TÜRKEI 1094 RUSSISCHE FÖDERATION 1084 DEUTSCHLAND 968 SPANIEN 950 ISLAMISCHE REPUBLIK IRAN 881 REPUBLIK KOREA 878 MAROKKO 822 KANADA 815 PERU 792 JAPAN 712 THAILAND 689 ÖSTERREICH 678 RUMÄNIEN 655 POLEN 654 ISRAEL 628 SCHWEDEN 599 ITALIEN
Diese Zahlen beziehen sich auf Einzel-Hosts, von denen einige mehrere Userverzeichnisse usw. aufweisen, so dass die reale Zahl viel höher ist als hier gezeigt. Wie bereits erwähnt, verbreitet jeder dieser Hosts einen Satz von Schaddateien, die je nach Umgebung des Rechners an einen User verschickt werden. Wir verwendeten die Seite www.virustotal.com, um den aktuellen Erkennungs-Status von 41 Antivirus-Anbietern, die sich an dieser Seite beteiligen, zu bestätigen. Das Ergebnis zeigte, dass gegenwärtig nur 3 von 41 Anbietern die Schaddatei *.php file entdeckt haben, mit welcher die oben genannten Standorte infiziert sind. Die Schaddatei *.pdf file haben 4 von 41 Anbietern erkannt, den Flash-Content – 3 von 41 Anbietern. Hingegen haben 33 Anbieter die ausführbaren Hauptdateien erkannt. Natürlich können die Kriminellen, die diesen Betrug betreiben, jederzeit diese Schaddateien verändern. Wir verfolgen aufmerksam die weitere Entwicklung, um unsere User so schnell wie möglich zu schützen.
Gumblar - Verbreitung einer Infektion |

|
Um den 20. Oktober herum erhielten wir von unserem Büro in der Türkei einige Mails über „die mögliche Ausbreitung eines neuen Virus.“ Und unsere Kollegen hatten recht: Etwas war im Gange. Einige Tage vorher davor, am 16. Oktober, hatten wir Veränderungen auf einigen Webseiten festgestellt registriert, die wir seit Mai 2009 beobachtet überwacht hatten, als sich „gumblar“ ausbreitete. Verbreitung von Während im April/Mai der Angriff nur mit Iframes funktionierte, die auf zwei Schad-Webseiten umleiteten (gumblar.cn, martuz.cn), sind dieses Mal die ausbreitenden Server weiter verbreitet - wir haben mehr als 202 Standorte identifiziert. Es folgt die Top-20-Liste der Länder mit infizierten Hosts, welche auf diese Schad-URLs leiten. 7271 VEREINIGTE STAATEN VON AMERIKA 704 RUSSISCHE FÖDERATION 675 REPUBLIK KOREA 619 ISLAMISCHE REPUBLIK IRAN 540 TÜRKEI 510 DEUTSHLAND 499 INDIEN 487 JAPAN 400 THAILAND 382 POLEN 379 BRASILIEN 345 ARGENTINIEN 298 TSCHECHISCHE REPUBLIK 187 UNGARN 182 BELGIEN 173 ITALIEN 163 RUMÄNIEN 159 UKRAINE 157 FRANKREICH 117 VIETNAM
*Hinweis: Die US-Zählung enthält mehr als 4000 Einträge, die auf eine persische Blog-Seite leiten, welche wahrscheinlich der bisher größte missbrauchte Eintrag gewesen ist. Unter den infizierten Hosts befanden sich auch viele .gov-Maschinen. Gegenwärtig zählen wir nicht weniger als 71 .gov-Einträge, 47 davon befinden sich in der Türkei. Wir sehen auch etwa 65 .edu sites und ca. 79 .ac domains, die hauptsächlich über Thailand, Indien und Korea verbreitet sind. Eine gründlichere Analyse der Zählungen in Japan hat mindestens 487 infizierte Seiten offenbart, davon sind noch 357 mit Schad-URLs infiziert, während dieser Beitrag hier geschrieben wird. Einige geschätzte Zugriffs-Zahlen: 21760 www.es***ne.com 20823 www.sport***.mk 19574 www.fortun***.ru 11937 www.***jinja.or.jp 10434 www.***land*.it
Für eine Woche hat unsere Kumulativzählung insgesamt 443748 Zugriffstreffer gezeigt, und das ist nur ein Teil des gesamten Geschehens. Während mehrerer Tage, nachdem wir diese neue Bedrohung festgestellt und unsere Angaben um die Aufdeckung der Schad-Dateien, die auf Adobe Reader und Flash Player zielen, ergänzt hatten, wurde in IT-Sicherheitskreisen überraschenderweise wenig darüber gesprochen. Es brauchte einige Zeit, bis 'new gumblar' in größerem Maßstab erkannt wurde, und viele scheinen ihn immer noch nicht erkannt zu haben. Er ist jedoch in der Tat sehr aktiv, und als Nebenwirkung sind verschiedene PC-Händler-Suppportlines mit Fragen bezüglich plötzlicher Neustarts usw. überschüttet worden. Es wird auch darüber berichtet, dass Rechner, die mit einer Schadversion von gumblar infiziert sind, nicht vollständig hochgefahren werden können, der Bildschirm bleibt schwarz, und nur der Mauszeiger ist zu sehen. Natürlich sind die oben angegebenen Zahlen nicht endgültig, und sie steigen jeden Tag.
| |