Archiv für den Monat: August 2009

Trojaner hat es auf Skype-Benutzer abgesehen

Hinterlassen Sie eine Antwort

Original Artikel von Bernadette Irinco (Technical Communications, Trend Micro)

TrendLabs Experten wurden auf einen neu veröffentlichten Proof-of-Concept (PoC) aufmerksam gemacht, der Anrufe, die über Skype geführt werden, abhört und aufzeichnet. Trend Micro entdeckt dies als TROJ_SPAYKE.C. Skype ist eine beliebte Anwendung, die für die Internet-Telefonie (VoIP) genutzt wird.

Beim Ausführen fängt die DLL-Komponente (auch als TROJ_SPAYKE.C entdeckt) Skype-Datenverkehr ab und dringt über die send- und recv-API ein. Das alles passiert, bevor Skype die Daten, die an andere Benutzer gesendet werden, verschlüsselt. Dadurch kann der Trojaner alle gesammelten Daten als Audiodateien speichern, die dann an einen bösartigen Benutzer gesendet werden könnten. Abbildung 1 zeigt einen Screenshot der gesammelten Daten:


Abbildung 1: Beispiel für abgefangenen Datenverkehr

Zurzeit stellt dies noch keine Bedrohung dar; der Trojaner sammelt nur Daten, entschlüsselt aber die besagten Informationen nicht und sendet sie auch nicht an einen entfernten Benutzer. Zunkünftige Angriffe, über die tatsächlich Daten entwendet werden, können jedoch nicht ausgeschlossen werden.

Um Datendiebstahl zu verhindern, sollten Benutzer beim Telefonieren über das Internet keine wichtigen Daten weitergeben. Trend Micro schützt Benutzer über das Trend Micro Smart Protection Network.

Internet-Bedrohungen lassen mobile Benutzer kalt

Hinterlassen Sie eine Antwort

Original Artikel von Bernadette Irinco (Technical Communications, Trend Micro)

Laut der neuesten Umfrage von Trend Micro haben Benutzer den Eindruck, Mobiltelefone seien sicherer als PCs. Eine Reihe von Benutzern wendet beim Surfen im Internet mit ihrem Mobiltelefon nicht die erforderlichen Schutzmaßnahmen an.

Die Umfrage ergab, dass 44 % von über 1.000 Befragten ziemlich unbekümmert mit ihrem Mobiltelefon online gehen. Die Teilnehmer sorgten sich mehr darüber, Daten wie Telefonnummern zusammen mit dem Mobiltelefon zu verlieren, als das Opfer von Datendiebstahl durch Internet-Bedrohungen, Phishing oder Spam-Angriffe zu werden. Tatsächlich verwenden nur 23 % Sicherheitsoftware, die bereits auf ihrem Mobiltelefon installiert ist. Manche glauben sogar, diese Software sei überflüssig, da Mobiltelefone nicht so stark gefährdet sind.

Bedauerlicherweise liegen die Benutzer vollkommen falsch, wenn sie glauben, dass Mobiltelefone von Angriffen durch Cyber-Kriminelle verschont bleiben. Denn Bedrohungen für mobile Geräte treiben schon seit vier Jahren ihr Unwesen. Trend Micro Forscher begegnen oft Symbian-Malware, wie z. B. SYMBOS_BESELO.A, SYMBOS_VIVER.A, SYMBOS_FEAKS.A und SYMBOS_YXES.B, die Symbian-basierte Mobiltelefone infizieren. Weitere beachtenswerte mobile Malware sind u. a. WINCE_INFOJACK.A und WINCE_CRYPTIC.A, die auf Windows Mobiltelefone abzielen. Diese so genannte herkömmliche mobile Malware ist auch heute noch sehr aktiv, wie man dem folgenden Diagramm entnehmen kann.

Zum Vergrößern klicken

Mögliche Risiken durch Phishing und andere Internet-Bedrohungen werden extrem zunehmen, je mehr webbasierte Funktionen mit einem Mobiltelefon genutzt werden können und je stärker Benutzer sich im Alltag auf diese Geräte verlassen. Benutzer sollten auf der Hut sein, wenn sie im Internet surfen, denn Datenverlust und Infektionen durch Malware können jeden treffen. Ihnen wird dringend geraten, Sicherheitssoftware zu nutzen, um sich vor Malware-Infektionen zu schützen.

Anti-Malware für Apple? Snow macht Witze!

Hinterlassen Sie eine Antwort

Original Artikel von Rik Ferguson (Solutions Architect, Trend Micro)

Einerseits sieht es so aus, als sei sich Apple jetzt bewusst, welche Gefahren bösartiger Code für seine Benutzer bedeutet. Tester der Beta-Version berichten, dass in der neuen Version des Mac-Betriebssystems Snow Leopard, die morgen veröffentlicht wird, Anti-Malware-Technologie integriert sein soll (obwohl das mal jemand der Marketing-Abteilung von Apple sagen sollte, die das Mac-Betriebssystem, wie bereits gebloggt, in einem neuen Werbespot „Überraschung“ noch immer als Malware-immun anpreist).

Wenn ein Benutzer in der neuen Version des Mac-Betriebssystems eine Datei herunterlädt, in der bösartiger Code entdeckt wird, wird der Benutzer darauf hingewiesen, dass die Datei „seinen Computer beschädigen könnte“, und aufgefordert, die fehlerhafte Datei zu löschen.

Dass Infinity Loop jetzt zugibt, dass eine Bedrohung durch Malware existiert, ist ein neuer, wichtiger und sehr ermunternder Schritt.

Obwohl ich jeden Versuch von Apple willkommen heiße, ihre wachsende Anzahl von Benutzern zu sichern und zu schützen, kann die Malware-Erkennung in Snow Leopard bestenfalls nur als rudimentär bezeichnet werden: Dateien werden nur beim Download durchsucht, und dann auch nur, wenn dafür bestimmte Anwendungen verwendet werden (wie z. B. Safari, iChat oder Mail). Malware wird mit Hilfe einer statischen Pattern-Abgleichsdatei entdeckt. Die bei Snow Leopard mitgelieferte Datei enthält nur Definitionen für zwei Malware-Typen: OSX_RSPLUG und OSX_KROWI. Der Update-Mechanismus, der für diese Viren-Pattern vorgeschlagen wird, ist die standardmäßige Software-Update-Technologie von Apple. D. h., dass Updates auch unregelmäßig erfolgen können. Echtzeit-Updates sind jedoch nötig, um die raffinierten Bedrohungen von heute zu bekämpfen. Es scheint keine Echtzeitsuche (Suche bei der Ausführung einer Datei) und keine zentrale Verwaltung oder Berichterstellung zu geben.

Der Trojaner RSPlug (Oktober 2007) überträgt die Malware DNSChanger, und Krowi ist die Malware, die für die Erstellung des ersten OSX-Bot-Netzes verantwortlich ist und in verschiedenen Raubkopien beliebter Mac-Anwendungen versteckt gefunden wurde. Kein Wort von der Malware-Familie Jahlav, die im Moment ihr Unwesen treibt. Tatsächlich wurde deren neueste Variante erst diese Woche vom Trend Micro Mitarbeiter Feike Hacquebord entdeckt. Die Malware versteckt sich in angeblichen Raubkopien von Snow Leopard selbst.

Sowohl RSPlug als auch Jahlav sind bekannt dafür, sich als Installationsmethoden für Video-Codecs auszugeben, eine Vorgehensweise, die unter Windows seit Langem bekannt ist. Malware, die DNS-Einträge ändert, entführt direkt nach ihrer Installation Verbindungen zu Websites wie eBay, PayPal und einigen Banken-Websites. Oft unterscheidet die bösartige Hosting-Website, ob der Browser auf einem Mac oder einem PC ausgeführt wird, und reagiert dann mit dem passenden Trojaner. Es ist also auch hier die geschickte und erfahrene Malware-Branche, die jetzt begehrliche Blicke auf die Apple-Community wirft. Anzumerken ist auch, dass Mac-Foren regelrecht mit Spam-Nachrichten bombardiert wurden, die die Leute dazu aufforderten, die Hosting-Sites einer, wie sich herausstellte, koordinierten Kampagne zu besuchen

Diese Beispiele von Techniken, die sich in der Wintel-Welt bewährt haben, sollten eine lehrreiche Warnung für die Mac-Community sein. Und es scheint, als ob Apple endlich zuhört. Malware gab es auf der Mac-Plattform schon lange vor dem Betriebssystem OSX. Das Gleiche gilt für Anti-Malware-Tools. Der radikale Wandel der Malware-Branche, gepaart mit dem Riesenerfolg von Apple in den letzten Jahren, macht es jedoch nur noch wahrscheinlicher, dass diese Entwicklung für bösartige Zwecke ausgenutzt wird. Die Kosten hierfür wird der Endbenutzer in den kommenden Monaten und Jahren zu tragen haben.

Es ist SMiShing-Zeit – das hat uns gerade noch gefehlt!

Hinterlassen Sie eine Antwort

Original Artikel von Rik Ferguson (Solutions Architect, Trend Micro)

Diesen Sommer warnte die CIFAS, der britische Service zur Betrugsabwehr, vor einer zunehmenden Bedrohung durch SMiShing. Diese Warnung wurde auch von der Tageszeitung The Guardian wiederholt.

Erste Berichte über SMiShing gehen bis in das Jahr 2006 zurück, als sich diese Bedrohung zum ersten Mal bemerkbar machte. Gespoofte oder anderweitig gefälschte SMS-Nachrichten wurden als Köder benutzt, um Opfer dazu zu verleiten, per SMS auf einen kostenpflichtigen Service zu reagieren, eine bösartige Website zu besuchen oder eine Telefonnummer anzurufen. Die SMS-Nachrichten selbst sind nicht bösartig, erfordern aber für ihre Erledigung oft sofort oder dringend die Aufmerksamkeit des Empfängers, wie z. B. Konto- oder Kreditkartendaten zu „bestätigen“ oderzu „aktivieren“, nicht vorhandene Abonnements zu kündigen oder fingierte Käufe zu bestätigen.

Beim SMiShing wird manchmal zusätzlich Vishing (Voice-Phishing) eingesetzt, wenn nämlich der Empfänger eine Telefonnummer anrufen muss, oder auch das gewöhnlichere Phishing, wenn der Empfänger angewiesen wird, eine bestimmte Website zu besuchen. Außerdem gibt es auch SMiShing-Nachrichten, die Empfänger auf bösartige Websites umleiten, wo ihr Computer dann infiziert wird.

Jemand hat alle Ihre persönlichen und Bankdaten auf der Website – URL der bösartigen Website – veröffentlicht. Sie müssen diese jetzt löschen.

Achtung, diese Nachricht wurde automatisch von – Name der Bank – generiert. Ihre EC-Karte wurde gesperrt. Um die Karte zu entsperren, müssen Sie umgehend diese Nummer +##-####-#### anrufen.

Wenn das Opfer die Nummer anruft, wird es beim Vishing von einem automatischen System (IVR), gelegentlich auch von einer echten Person, beispielsweise nach Kreditkartennummer, Kartenprüfnummer (Nummer auf der Rückseite Ihrer Kreditkarte), dem Ablaufdatum der Karte, Kontodaten oder sogar nach der PIN-Nummer der Karte gefragt. Oft haben es Kriminelle auch auf persönliche Daten, wie z. B. Geburtsdatum, Sozialversicherungs- oder Personalausweisnummer usw. abgesehen. Eine Audio-Aufnahme eines solchen Systems finden Sie hier.

Bei einer webbasierten Phishing-Bedrohung können auch mehr Daten entwendet werden, u. a. Angaben, die man nur schwer über eine Telefontastatur eingeben kann, wie z. B. den Geburtsnamen der Mutter oder eine E-Mail-Adresse. Mit diesen Angaben werden gefälschte Kreditkarten erstellt, oder sie werden als ID-Paket an andere Kreditkartenfälscher verkauft.

Abbildung 1

Werbung eines Kartenfälscherforums

Gleichzeitig ist auch ein Anstieg potenzieller, ausgehender Vishing-Anrufe zu beobachten. Diese Art von Anrufen nutzt das Vertrauen aus, das die Leute in das herkömmliche und ihnen vertraute Telefonsystem haben. Technologischer Fortschritt, insbesondere die Nutzung des Internets zum Telefonieren (VoIP), hat das Spoofing bzw. das Fälschen der Anrufer-ID sehr viel einfacher gemacht, so dass es deutlich schwieriger ist, den Betrüger zu entlarven und zu sperren. Diese Bedrohung hat sich schon so weit etabliert, dass telefonbasierte Cybercrime-as-a-Service-Einrichtungen bereits Geschäfte treiben.

Die Telefonnummer eines Vhishing-Anrufs ist gespooft und kommt häufig aus dem Ausland. Ein Beispiel wurde hier schon in einem früheren Blog genauer beschrieben.

Wenn Sie eine unerwartete Mitteilung erhalten, sei es per Telefon, E-Mail, SMS oder Brieftaube, und Sie darin aufgefordert werden, Ihre vertraulichen Daten einzugeben, sollten Sie *nicht reagieren*. Beantworten Sie die E-Mail oder die SMS nicht, sprechen Sie nicht mit der Person am anderen Ende der Leitung, und klicken Sie auf keinen der angezeigten Links. Notieren Sie sich stattdessen den Namen des Unternehmens, von dem die Mitteilung angeblich stammt, und setzen Sie sich direkt mit einem Mitarbeiter in Verbindung, um die Legitimität der Anfrage zu prüfen. Entgegen einigen Ratschlägen, die ich gelesen habe, sollten Sie die SMS oder E-Mail nicht sofort löschen, da die Inhalte für das Unternehmen, in dessen Namen die Mitteilung verschickt wurden, hilfreich sein könnten.

Wenn Sie Anti-Spam-Technologie für SMS benötigen, brauchen Sie nicht weiterzusuchen (die Anwendung ist auch in der Pro-Version des Consumer-Produkts enthalten)…

Ihre Daten gehören uns

Hinterlassen Sie eine Antwort

Original Artikel von Robert McArdle (Advanced Threats Researcher, Trend Micro)

Wir von Trend Micro Research haben vor Kurzem eine kurze Blog-Serie zu Pushdo veröffentlicht, einem Bot-Netz, das für eine beachtlich lange Zeit unentdeckt blieb. Pushdo ist aber nicht das einzige Bot-Netz, dem dies gelang: Da gibt es auch noch Ilomo.

Auch Ilomo ist bereits seit einigen Jahren aktiv und blieb wie Pushdo von der Sicherheitsbranche relativ unbemerkt. Wie Pushdo besteht auch Ilomo aus einzelnen Bausteinen, wodurch es schwierig ist, die Aktionen der gesamten Bedrohung zu sehen. Hinzu kommt, dass Ilomo seinen Binärcode mit einem kommerziellen Obfuscator für virtuelle Maschinen verschleiert, so dass das Reverse Engineering der Malware viel aufwendiger wird.

Der Geschäftsplan von Ilomo besteht aus zwei Teilen. Der erste ist der gute alte Datendiebstahl. Ilomo infiziert den Browser mit seinem Code. Dann überwacht er die Internet-Verbindung und wartet darauf, dass der Benutzer sich bei einem von über 4.000 Banken-, Finanz- oder Webmail-Konten anmeldet. Ilomo gibt sich jedoch nicht einfach mit den Diebstahl von Anmeldedaten zufrieden: Er kann sich auch beim Online-Banking einklinken, Überweisungen vom Konto eines infizierten Benutzers tätigen und das sichere Zugangssystem der Bank zur Farce machen. Außerdem sammelt Ilomo alle anderen Anmeldedaten auf dem Computer, z. B. von FTP-Programmen, Webservern, lokalen Administratoren usw. Mit diesen Daten wird Ilomo dann im Netzwerk verbreitet, damit er Webserver online kontrollieren kann, um neue Versionen der Malware zu hosten.

Ilomo C&C-Serververteilung. Zum Vergrößern klicken

Die zweite Einnahmequelle von Ilomo besteht darin, „Anonymität als Service“ zu verkaufen. Jeder durch Ilomo infizierte Computer verhält sich wie ein Proxy, so dass Kriminelle ihre illegalen Aktivitäten über verschiedene Netzwerke und Länder abwickeln können. In diesem Proxy-Netzwerk können Kriminelle nicht nur ihre Identität verstecken; es ist auch ausgesprochen hilfreich beim Angriff auf eine andere Verteidigungsmaßnahme, die in vielen Banken-Sites eingebaut ist – dass der Zugriff nämlich nur aus bestimmten Ländern möglich ist. Wenn ein Krimineller auf eine brasilianische Bank zugreifen muss, nutzt er einfach einen durch Ilomo infizierten Computer in Brasilien, um die Verbindung herzustellen.

In diesem Beitrag haben wir nur einige der ganz allgemeinen Informationen zu Ilomo angesprochen. Wenn Sie mehr über Ilomo (und die technischen Aspekte, die wir hier nicht ausführen konnten) wissen wollen, schauen Sie sich unser Whitepaper an:

Analyse von Ilomo/Clampi