Archiv für den Monat: Februar 2010

Ein neuer Twitter-Wurm stiehlt Login-Daten

4 Antworten

Originalartikel von Robert McArdle (Senior Malware Researcher bei Trend Micro)

Ein neuer Twitter-Wurm macht die Runde. Erhält ein Nutzer eine direkte Nachricht von einem „Freund“, welche folgende Frage enthält,

“This you????”

so ist die Message wahrscheinlich bösartig. Der Link http://twitter.login.{BLOCKED}home.org/login/ führt zu einer Unterseite der Domäne. Danach wird der Nutzer aufgefordert, sich an seinem Twitter-Konto anzumelden. Die Abbildungen zeigen, wie unterschiedlich die beiden Login-Seiten sind:



Meldet sich ein Nutzer an, so werden seine Login-Daten gestohlen und alle seine Follower erhalten eine direkte Nachricht mit dem Link auf dieselbe Site – und so kann sich der Wurmverbreiten. Zweifelsohne werden die Cyberkriminellen irgendwann die gestohlenen Login-Daten dazu verwenden, um weitere bösartige Inhalte aus der riesigen Zahl kompromittierter Twitter-Konten zu verschicken.

Seien Sie also vorsichtig! Weitere Tipps und Tricks für Social Networking bietet Trend Micros „Security Guide to Social Networks”. Das Smart Protection Network von Trend Micro schützt die Anwender vor dieser Art des Angriffs, indem die Content-Sicherheitsinfrastruktur den Zugriff auf bösartige Domänen und andere damit in Zusammenhang stehende Sites blockiert.

Es ist nicht alles (Facebook)-Gold, was glänzt

1 Antwort

Originalartikel von Rik Ferguson (Solutions Architect bei Trend Micro)

Es gibt keinen Facebook Gold Account, doch die Internet-Kriminellen möchten Nutzern dies dennoch weismachen.


Gefälschte Facebook-Seite

Gold Membership Trolling gibt es seit 2007. Das Ziel war, Nutzern des 4chan Imageboard einen Streich zu spielen. Gefälschte Bilder wurden in dieses Imageboard gestellt, die angeblich nur „Gold“-Mitglieder sehen können. Mit diesem Trick sollten Nutzer glauben, dass sie für ein Upgrade des Kontos zahlen müssen.

4chan Gold Account von whatport80.com

Die Idee des Internet-Betrugs mithilfe von Gold Accounts wurde von vielen Kriminellen aufgegriffen, um damit ans schnelle Geld zu kommen. Sie setzten Facebook-Seiten auf mit Namen wie “GET YOUR UPGRADE WHILE THEIR FREE!!” und versprechen unter anderem verbesserte Funktionalität und werbefreie Seiten. Doch ein näherer Blick auf einige Merkmale der Facebook-Seite sollte die Alarmglocken schrillen lassen.

Upgrade Seite

Gefälschte Facebook Gold Account Seite

Einer der ersten Hinweise (zumindest für Muttersprachler) auf einen Betrug ist der Schreibfehler im Titel: THEIR sollte eigentlich „they’re“ heißen. Analysiert man die Liste der „Kommentare“ auf der rechten Seite, so stellt man fest, dass es sich nicht um echte Kommentare handelt, sondern um Image-Dateien, die auch mit der betrügerischen Webseite verlinkt sind.

Doch was wollen die Betrüger? Folgt der Nutzer allen Anweisungen, so lädt er als erstes alle seine Freunde dazu ein, sich dieses „coole“ Angebot anzusehen. Ist der Nutzer vertrauensselig genug, den Button anzuklicken, so wird er darüber informiert, dass der Zugriff auf die Seite mit dem Account Upgrade es erfordert, eine „schnelle kostenlose Umfrage“ auszufüllen – und hier wird das Geld verdient.

Ich habe eine solche Umfrage getestet: Sie führte zu einem Quiz „Werewolf vs Vampire“, der mir sagen sollte, zu welcher der beiden Kategorien ich gehöre. Nach der Beantwortung der zehn Fragen wurde ich dazu aufgefordert, meine Mobilnummer anzugeben, um so die Ergebnisse zu erhalten. Wer dies tut, erklärt sich damit einverstanden, eine Aufnahmegebühr von 9 Pfund zu zahlen, wobei dann wöchentlich weitere 9 Pfund fällig werden, bis man die Mitgliedschaft über eine SMS kündigt.

Natürlich stehen die Geschäftsbedingungen auf der Seite. Doch die Betrüger erhalten sicherlich eine Provision für jede Aktivierung, die zur Quiz-Seite führt. Derzeit gibt es mehr als 50 verschiedene Versionen dieser bestimmten Facebook-Seite und mehr als eine Million Fans!

Der Top-Hinweis, um diese Art des Betrugs zu vermeiden, bevor ein Nutzer irgendetwas an seine Freunde und Kontakte weiterleitet, lautet: Überprüfen! Geben Sie nie die eigene Mobilnummer an, um Ergebnisse einer Online-Quiz oder Umfrage zu erhalten. Werden die Resultate nicht auf einer Webseite angezeigt, so sind sie es nicht wert.

Schließlich sollten Nutzer keinen Geschichten über Facebook-Funktionalität glauben, die kostenpflichtig hinzugefügt wurde – es sei denn, Facebook selbst informiert darüber.

Phisher haben es auf Googles Blogger abgesehen

3 Antworten

Originalartikel von Sarah Calaunan (Fraud Analyst bei Trend Micro)

Trend Micros Web Reputation Services (WRS) Operations Team hat eine Phishing-Mail entdeckt, die vorgibt, von Blogger zu kommen, dem kostenlosen Blog-Publishing-Tool von Google (siehe Bild 1).

Die Spam-Nachricht fordert die Benutzer auf, ihre Blogger-Konten zu aktualisieren, indem sie auf den in der Nachricht eingebetteten Link klicken. Dieser führt dann auf eine gefälschte Anmeldeseite. Auf den ersten Blick scheint die URL der Site legitim zu sein. Sie beginnt mit demselben Domänennamen wie die tatsächliche Blogger-Anmeldeseite. Doch bei näherem Hinsehen fanden die TrendLabs-Fachleute heraus, dass die gefälschte Site nicht auf derselben URL gehostet wird wie die richtige. Stattdessen wurde sie auf einer Remote Site vorgehalten, ist also tatsächlich eine gefälschte Anmeldeseite oder eine Phishing Site (Bilder 2 und 3).



Die Benutzer verwenden Blogs für einen stetigen Informationsaustausch über alles mögliche, das sie interessiert. Mittlerweile verwenden auch Unternehmen Blogs, um ihre Marketingbotschaften zu verbreiten. Daher kann es für Phisher ein lohnendes Geschäft sein, über diese gefälschten Login-Seiten an Kontendaten zu kommen. Diese Angriffe können dem Diebstahl von Daten dienen aber auch dem von Identitäten.

Aus diesem Grund warnen wir die Anwender eindringlich, vorsichtig umzugehen mit verdächtig aussehenden Mails und Sites. Es schadet sicherlich nicht, übervorsichtig zu sein, um nicht auf die sich weiter entwickelnden Techniken der Cyberkriminellen hereinzufallen.

Trend Micros Smart Protection Network schützt Anwender vor dieser Art der Angriffe, indem die Content-Sicherheitsinfrastruktur mithilfe der E-Mail-Reputationsdienste die Spam-Nachrichten blockt, bevor sie die Inbox erreichen. Den Zugang zu bösartigen Sites und Domänen verhindert das SPN mithilfe der Webreputations-Services.

Wer keine Trend Micro Produkte im Einsatz hat, kann sich mithilfe von kostenlosen Tools wie dem Browser Plugin eMail ID schützen. Dieses Werkzeug hilft dabei, legitime Mail-Nachrichten zu erkennen und zu verhindern, dass der User Phishing-Mails öffnet.

Kneber zu kaufen oder zu mieten

2 Antworten

Originalartikel von Rik Ferguson (Solutions Architect bei Trend Micro)

Mir ist bewusst, dass ich allmählich in den Ruf eines Nörglers gerate, immer bereit, einen Eimer kalten Wassers über den Sicherheits-Hype auszugießen. Dennoch, auch diesmal muss ich es wieder tun!

Die Medien zeigten in letzter Zeit entsetzt über die Ausmaße eines “neuen” Botnetzes namens Kneber. Einem Bericht von NetWitness zufolge hat ein bestimmtes Botnet, dass ZeuS-Crimeware nutzt, Tausende Unternehmen und Zehntausende Computer erfolgreich infiziert. Natürlich ist dies für die betroffenen Firmen eine schreckliche Nachricht, und sicherlich lassen sich eine Menge Security-Lehren aus solchen Erfahrungen ziehen.

Dennoch möchte ich betonen, dass es nichts „Neues“ oder „mie da Gewesenes“ ist, wenn ein Botnet Zeus nutzt oder diese Ausmaße annimmt. ZeuS (oder ZBot) gibt es seit mindestens 2007, und es gilt im Online-Untergrund als Commodity-Crimeware. Die Malware wird in Online-Foren offen gehandelt, sowohl als Software-Produkt als auch in Form von vorinfizierten Botnetzen. Die Anbieter gehen mittlerweile dazu über, Services mit ihren kriminellen Offerten zu bündeln – sozusagen Crimeware as a Service.

Screenshot eines Untergrund-Forums

Ältere Versionen der Software können kostenlos herunter geladen werden, allerdings werden diese häufig von anderen Kriminellen mit Backdoors versehen. Es gibt keine Ehre unter den Dieben! Tatsächlich ist das Angebot von Botnets so reichhaltig, dass der Preis für vorinfizierte Maschinen überraschend niedrig ist.

175 000 Bots zum Verkauf … weltweit

Natürlich können diejenigen, die die Mittel nicht zur Verfügung haben oder auch einfach keine Lust dazu, ihr eigenes Botnet zu betreiben, lediglich den Output kaufen.

Logs zum Verkauf

Sicherheitsforscher haben nahezu 1300 Command&Control-Server für verschiedene ZeuS-Botnets im Visier, von denen etwa die Hälfte derzeit online sind. Es zeigt sich auch, dass die durchschnittliche binäre Entdeckungsrate (wie die Antivirus-Produkte Malware aufspüren mithilfe von Pattern-Dateien und Signaturen) bei nur 49,62 Prozent liegt – was den Erfolg der Infektionsraten zum Teil erklärt.

Es ist allgemein bekannt, dass Malware-Autoren und andere Kriminelle bereits Wege gefunden haben, wie herkömmlicher Malware-Schutz, der sich auf Pattern oder Signaturen verlässt, zu umgehen ist: Sie verändern einfach ihren Code so oft wie möglich. Schätzungen zufolge gibt es derzeit jede 1,5 Sekunde ein einzigartiges bösartiges Binary.

Daher lautet die erste Sicherheitslehre aus der aktuellen Berichterstattung: Stellen Sie sicher, dass sich Ihre Anti-Malware-Lösung nicht lediglich auf die Infektionsschicht verlässt, nach dem Motto „wie die Datei aussieht“. Stellen Sie sicher, dass die Lösung auch die exponierte Schicht prüft, woher die Datei kommt und wohin sie zurück berichtet. Wenn die Sicherheitsindustrie weiß, wo die Server der Bad Guys sind, so sollte dies auch jeder Ihrer Endpunkte wissen. Damit ist das Aussehen des Binaries nebensächlich. Trend Micros Smart Protection Network schützt Sie mithilfe von Reputationsdiensten über alle diese Schichten hinweg und vor all diesen Gefahren.

Auch können Anwender mit dem kostenlosen RUBotted prüfen, ob der eigene Rechner Teil eines Botnetzes ist.

Windows Update führt zu „Blue Screen“-Absturz

1 Antwort

Originalartikel von Danielle Veluz (Technical Communications bei Trend Micro)

Ein kürzlich von Microsoft herausgegebener Windows “Patch” hat anscheinend eine Reihe von „Blue Screen“-Abstürzen verursacht, nachdem Anwender den so genannten Security Update installiert haben. MS10-015 steht mit diesem Systemfehler in Verbindung, heißt es, und verursacht blue-screen-of-death (BSoD) Fehler.

Einem Eintrag im offiziellen Microsoft-Blog zufolge wurde die Verteilung  des besagten Windows Updates unterbrochen. Doch erklärt der Anbieter auch, dass die Ursache des BSoDs auch mit Malware im Zusammenhang stehen könnte.

Die Forscher von Trend Micro erkannten als Wurzel des Übels TROJ_TDSS.AJD, dessen Design es ermöglicht, sich in dem Betriebssystem eines Nutzers zu verstecken. Diese sehr schwer aufzuspürende Rootkit verursacht Betriebssystemabstürze, wenn der Security Update installiert wird.

Die bekannten Malware-Komponenten der TDSS-Varianten enthalten eine Payload, welche die heimlichen Malware-Aktivitäten durchführt. Die Entdeckung der neuen TROJ_TDSS.AJD-Muster brachten Microsoft dazu, zwei diesbezügliche wichtige Updates heraus zu bringen — Update—Restart Issues After Installing MS10-015 and the Alureon Rootkit und Restart Issues on an Alureon-Infected Machine After MS10-015 Is Applied , um weiteren Schaden durch BSoD-Abstürze zu verhindern.

Die Anwender von Trend Micro Produkten sind über das Smart Protection Network vor solchen Vorfällen geschützt.