Archiv für den Monat: Juli 2010

Witzbolde manipulieren in Facebook türkische Übersetzungsanwendung

1 Antwort

Originalartikel von Rik Ferguson (Senior Security Advisor bei Trend Micro)

Eine Gruppe türkischer Witzbolde hat mithilfe ihrer Message Board Mitglieder einen groß angelegten sprachlichen Angriff auf Facebook gestartet und schamgerötete Gesichter geerntet.

Ein Eintrag in Inci Sözluks Diskussionsforum beschreibt den Plan, die Übersetzungsanwendung von Facebook zu missbrauchen, um die Board-Teilnehmer zu amüsieren. Und es sieht so aus, als sei dies gelungen.

Eine Auswahl von auf der Facebook-Plattform häufig genutzten 56 Wörtern und Phrasen wie etwa „Like“ oder „Your Message could not be sent because the user is offline“ wurden in der türkischen Übersetzung „verbessert“. Dazu missbrauchten die Witzbolde die offizielle Facebook Übersetzungsschnittstelle, eine Crowdsourcing Methode für die Optimierung der sprachlichen Genauigkeit der Site. Die Forumsmitglieder sorgten dann dafür, dass es genügend Stimmen für diese Übersetzungen gab, damit sie von allen türkischen Facebook-Nutzern verwendet werden. Die Ausdrücke waren natürlich beleidigend, doch scheinen manche sie für amüsant gehalten zu haben.

Beispielsweise wurde „like“ mit dem berühmten „F…“-Wort ersetzt. Die bekannte Benachrichtigung im Facebook-Chat “Your message could not be sent because the user is offline” wurde zu “Your message could not be sent because of your tiny penis”.

“Your message could not be sent because of your tiny penis”

Facebook machte noch am selben Tag die Übersetzungen rückgängig, und die Übersetzungsanwendung ist für viele Sprachen offline, wobei nicht klar ist, ob da ein Zusammenhang besteht.

Bemerkenswert ist aber, dass diese vollautomatisierte Crowdsourcing-Methode anscheinend dazu führt, dass die Ersetzungen in den Übersetzungen von keinem überprüft werden, bevor sie Gültigkeit erlangen. Möglicherweise können hier Kriminelle davon profitieren, indem sie versteckte URLs in beliebte Wörter einfügen. Unter diesem Aspekt ist es zu begrüßen, dass diese Lücke jetzt aufgedeckt wurde, bevor Schlimmeres passiert ist.

Jeder Online-Service, ob Übersetzungs- oder Reputationsdienst, der mit von Nutzern generierten Inhalten umgeht, ist gut beraten, eine Qualitätsüberprüfung durchzuführen, bevor der Inhalt an die Nutzer geht.

Spam-Nachrichten nutzen Redirectors auf infizierten Sites

1 Antwort

Originalartikel von Joey Costoya (Advanced Threats Researcher bei Trend Micro) und Martin Roesler (Director for Threat Research)

Derzeit beobachten die Sicherheitsexperten von Trend Micro eine Welle von Pharma-Spam, wobei die zugehörige E-Mail nicht direkt die URL der gefälschten Pharma-Site angibt, sondern Links auf HTML-Seiten, die von infizierten Sites gehostet werden.

Diese Seiten werden in die Web-Root der kompromittierten Sites hochgeladen, während die HTML-Redirectors eine Verschleierungsschicht liefern, um die tatsächliche Landing-Seite zu verstecken – das ist in diesem Fall die berüchtigte falsche Pharma-Site Canadian Pharmacy oder Pharmacy Express. Diese HTML-Seiten sind ganz einfache Redirectors, und zwar entweder eine META Refresh-Weiterleitung oder eine JavaScript-Weiterleitung.



In unsere Spam-Fallen gehen täglich im Durchschnitt etwa 1000 neue kompromittierte Sites. Einige davon werden mehrmals  infiziert. Dies lassen mehrere HTML-Redirectors vermuten, die in die Web-Root der Site hochgeladen werden.



In den meisten Fällen werden zwei Dateien auf die infizierten Sites hochgeladen: der HTML-Redirector und eine JPEG-Datei. Letztere hat denselben Namen wie die HTML-Datei und wird als Darstellungs-Image in der Spam-Nachricht verwendet, wie das Bild 4 zeigt.

Die Webplattform der infizierten Websites variiert. Einige nutzen gar kein CMS andere wiederum lediglich einfache HTML-Dateien. Auch gibt es keine Gemeinsamkeiten zwischen den Webplattformen der Sites, sodass die Möglichkeit, dass die Site über einen Webanwendungs-Exploit infiziert wurde, auszuschließen ist.

Logischerweise wäre die einfachste Art der Infizierung dieser Websits der Diebstahl von FTP-Zugangsdaten. Schließlich boomt der Untergrundhandel mit gestohlenen FTP-Konten. Ein Unternehmenskäufer kann bis zu 300.000 FTP-Konten für nur 25 WMZ (Webgeld: 1 WMZ = 1 US-Dollar) kaufen. Auch gibt es Tools für den Massen-Upload von Dateien, wenn eine Liste mit FTP-Zugangsdaten vorhanden ist.

Die Forscher eines anderen Sicherheitsunternehmen haben bereits die beschriebenen Samples ausgemacht und bestätigt, dass es sich um ein Produkt des bekannten Rustock Spam Bots handelt. Das legt die Vermutung nahe, dass die Akteure hinter dieser Masseninfektion und die Betreiber des Rustock Spam Bots enge Beziehungen zueinander haben oder sogar ein und dieselben sind.

Die meisten Websites heute werden von CMS-Software mit einer benutzerfreundlichen Schnittstelle verwaltet. Damit wird das Management von Websites zwar sehr einfach, doch die Kehrseite der Medaille ist, dass die Webmaster diese kleinen HTML-Dateien, die auf ihre Sites hochgeladen werden, unter Umständen übersehen. Um dies zu verhindern, sollten sie folgende Empfehlungen beachten:

  1. Regelmäßig die Web-Root nach hier abgelegten HTML-Dateien durchsuchen. Die Dateinamen dieser HTML-Dateien folgen bestimmten Konventionen (etwa ovary40.html, slouch77.html, island57.html, e.html, b.html). Manchmal jedoch sind sie ganz zufällig gewählt (yfogewef.html, esyqaso.html, oxbm.html).
  2. Falls solche Dateien gefunden werden, sollten sie gelöscht werden.
  3. Ändern der FTP-Passwörter nach dem Säubern der Site, um eine nochmalige Infektion zu verhindern. Wählen Sie starke Kennwörter!

Falls ein Webmaster eine Malware-Infektion, vor allem über einen Keylogger, vermutet, sollte zum letzten bekannten sauberen Backup zurückgekehrt werden, FTP-Kennwörter geändert und ein Integritätsprüfungswerkzeuge wie das quelloffene Intrusion Detection System OSSEC oder Deep Security zum Schutz der Website installiert werden. Schließlich muss die Sicherheitssoftware immer auf neustem Stand sein, um zu gewährleisten, dass der Schutz auch die neusten Bedrohungen mit einschließt.

ZeuS/ZBOT und SALITY nutzen die Shortcut-Schwachstelle

1 Antwort

Originalartikel von Jasper Manuel (Threat Response Engineer bei Trend Micro), Julius Dizon (Escalation Engineers bei Trend Micro), Marvin Cruz (Escalation Engineers bei Trend Micro)

Wie schon letzte Woche berichtet haben die Exploits der Windows Shortcut-Schwachstelle zugenommen. Jetzt wird sie auch dafür ausgenützt, um ZBOT-Varianten über bösartige Anhänge in Spam-Nachrichten zu verbreiten. Die Messages, die von Trend Micro-Produkten blockiert werden, führen als Betreff Microsoft Windows Security Advisory an und umfassen folgenden Text:

Sie geben vor, von Microsoft zu kommen, und fordern die Nutzer auf, das angehängte vermeintliche Update anzuwenden, um sich vor der Gefahr zu schützen. Die Nachricht umfasst sogar ein Kennwort für die geschützte ZIP-Datei sowie Anleitungen für die Installation des angeblichen Sicherheits-Update. Zur Erinnerung: Microsoft hat noch keinen Patch für besagte Schwachstelle veröffentlicht, sondern lediglich ein so genanntes „Fix-Tool“ für das Deaktivieren von .LNK und .PIF!

Unser Team fand heraus, dass das angehängte Archiv eine bösartige .LNK-Datei enthält, die Trend Micro als LNK_STUXNET.SM identifiziert hat. Auch ist eine bösartige .DLL-Datei darin, die Trend Micro als TROJ_ZBOT.BXW identifiziert.

Wird der Exploit-Code im Shortcut angestoßen, so führt er die Malware-Komponente aus, die dann ihrerseits den Hauptschädling TROJ_ZBOT.BXW herunterlädt und ausführt. Es handelt sich um eine ZBOT 2.0 Variante, die wir bereits früher in diesem Jahr entdeckt hatten.

SALITY Dateiinfektoren werden nun auch für diese Schwachstelle eingesetzt, wie PE_SALITY.LNK-O zeigt:

Hier noch ein Vergleich der bekanntesten Methoden von USB-Malware, um sich  zu verbreiten:

AUTORUN.INF LNK Vulnerability
Wechselmedien Alle Platten (shared, removable, optical etc.)
Zieldatei sollte.EXE, .BAT, .SCR, or .CMD Endung haben Jeder Dateiname, wenn es eine .DLL-Datei ist

Es sollte jedem klar sein, dass sich Malware über die LNK-Schwachstelle einfacher verbreiten kann, als diejenige, die die AUTORUN.INF-Datei nutzt, und man kann davon ausgehen, dass noch mehr Malware-Familien dies tun werden!

Phishing mit Signaturen effizient bekämpfen

Hinterlassen Sie eine Antwort

Originalartikel von Douglas Otis (Advanced Threats Researcher bei Trend Micro)

Kennen Sie das Computerspiel Whack-a-mole? Ziel ist es, Maulwürfe, die aus Löchern hervorkommen, mittels eines Holzhammers oder Tasten wieder in die Löcher zu hauen. Man stelle sich nun eine Variante des Spiels vor, in der der Maulwurf in der Zeit, in der der „Hammer“ sich hebt und senkt, in ein anderes Loch verschwindet – dabei gibt es aber statt der sechs Löcher Millionen davon. Phishing-Versuche zu stoppen ist ähnlich schwierig wie ein solches Spiel zu gewinnen.

Normalerweise werden E-Mail-Nachrichten angenommen, nachdem die Reputation der Quellen geprüft wurde. Doch wie bei Whack-a-mole ist die Zeitspanne, die ein Spieler für eine Reaktion mit dem Holzhammer braucht, vergleichbar mit der, die nötig ist, um eine Reputation zu erlangen und zu verbreiten. Dieses Problem sollen Author Domain Signing Practices (ADSP), eine Erweiterung der DomainKeys Identified Mail (DKIM), lösen. Mit Hilfe von ADSP stellen Author Domains Aussagen darüber auf, ob sie DKIM für das Signieren aller nach draußen gehenden Mail-Nachrichten nutzen oder nicht. Für die Empfänger ist dies eine Grundlage, um schnell zu entscheiden, ob sie eine nicht signierte Nachricht annehmen wollen. Unglücklicherweise hat sich die einfache Behauptung, dass alle Nachrichten signiert sind, als nicht ausreichend erwiesen, denn in vielen Fällen setzen Third-Party-Services die Signaturen außer Kraft. Um die Zweifel bei der Entscheidungauszuräumen, eine nicht signierte Nachricht (Mails die von Third-Party-Services geändert wurden) anzunehmen oder nicht, gibt es die Behauptung „discardable“. Doch damit entstehen neue Schwierigkeiten, denn viele Mail Server weisen nicht kompatible Nachrichten zurück – ein Problem für Mailing-Listen.

Dies führt zu einem weiteren Lösungsversuch: Um nicht diejenigen, die discardable Nachrichten zurückweisen aus den Listen entfernen zu müssen, werden die Domänen, die ADSP discardable Aussagen machen, angewiesen, ihre Nachrichten via Unterdomänen zu verschicken, die keine problematischen ADSP-Aussagen treffen. Leider führt die Nutzung verschiedener Domänen mit unterschiedlichen Praktiken zu steigenden Phishing-Aktivitäten – und stellt somit die gesamten ADSP-Bemühungen in Frage. Die Nutzer wissen nämlich nicht mehr, wem sie trauen können.

Diese Überlegungen stehen hinter dem so genannten TPA-Label (Third Party Authorization). Diese Autorisierungsstrategie ist eine DNS-basierte Erweiterung für DKIM ADSP Records und erlaubt Domänen, im From-Header annehmbare Signaturen von Third Parties zu autorisieren. Die Autorisierung beruht auf Hashed Labels. Will beispielsweise soho-flower.com in eine geheime Mailing-Liste, die die Domänen, die Signaturen ausgeben, nicht publiziert, so würde das TPA-Label-Schema lediglich eine Autorisierung für die Nachrichtenempfänger gewähren. Weitere Details finden sich in einem ausführlichen Artikel im Security Spotlight von Trend Micro.

URL Shortener nutzt gefälschten Facebook-Link für Malware-Verbreitung

Hinterlassen Sie eine Antwort

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Dass Cyberkriminelle Malware über Instant Messages verbreiten, ist mittlerweile bekannt, ebenso der Weg über URL Shortener. Jetzt hat Jonell Baltazar, Advanced Threats Researcher bei Trend Micro, eine Instant Message entdeckt, die einen Link auf eine bösartige Seite enthält. Ungewöhnlich daran ist die Art, wie der URL Shortener verwendet wird.

Der für diesen Angriff benutzte URL Shortener ow.ly verkürzt lange URLs über das Format http://ow.ly/(5 alphanumeric characters). Die Spam-URL ist mit dem Query String ?=www.facebook.com/photo.php „gepolstert“. Nutzer sollen dadurch der Nachricht in der IM glauben, sie würden auf eine Facebook-Seite geleitet, um ein Bild anzusehen. Der bösartige Link lädt einen Wurm herunter, den Trend Micro als WORM_YIMBOT.A identifiziert hat.

Trend Micro empfiehlt, vor dem Anklicken von verdächtig aussehenden Links zweimal zu überlegen, unabhängig davon, ob es eine E-Mail-Nachricht, IMs oder eine Nachricht aus einem sozialen Netzwerk ist.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network vor diesen Angriffen geschützt. Auch wurde die Site, auf die die verkürzten Links zielen, blockiert.