Archiv für den Monat: August 2010

FAKEAV behauptet sich hartnäckig

Hinterlassen Sie eine Antwort

Originalartikel von Roland Dela Paz (Threat Response Engineer bei Trend Micro)

FAKEAV-Malware wird mittlerweile wie als ganz normales Geschäft betrieben, und das trotz der hohen Aufmerksamkeit von Seiten der Medien. Trend Micro-Sicherheitsforscher haben drei wichtige Aspekte – nämlich Social Engineering-Techniken, FAKEAV-Techniken und das Geschäft mit der Malware — untersucht, um herauszufinden, warum diese berüchtigte Malware sich so hartnäckig behaupten kann.

Social Engineering stellt die überwiegend genutzte Technik für die Weiterentwicklung böswilliger Aktivitäten dar, sowohl online als auch offline. FAKEAV ist ein gutes Beispiel für eine Online Social Engineering-Erfolgsstory. Die Malware nutzt menschliche Schwächen aus und setzt Techniken wie „Black Hat“ Search Engine Optimization (SEO) ein, um Nutzer auszutricksen.

Hinter professionell wirkenden Benutzerschnittstellen, störenden Pop-ups und sonstigen Scareware-Taktiken von FAKEAV steckt eine einfache Technologie. Man kann daher sagen, dass die FAKEAV-Technik eher trickreich als komplex ist. Aber ungeachtet der Einfachheit der Technik spielt sie eine erfolgskritische Rolle für die Social Engineering Malware-Taktik.

Natürlich ist eine böswillige Kampagne sinnlos, wenn sie den Betreibern nichts bringt. Im FAKEAV-Geschäft geht es um hohe Einsätze, denn neben den 40 bis 100 Dollar, die die Nutzer als Preis für eine Schwindelsoftware zahlen, geht es vor allem um Informationsdiebstahl.

Weitere Einzelheiten zu den Aspekten gibt es im Security Spotlight Artikel “Why FAKEAV Persists”.

Alte DLL-Sicherheitslücke wird ausgenützt

Hinterlassen Sie eine Antwort

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Microsoft hat ein neues Security Advisory veröffentlicht, dass Erläuterungen zu einer Sicherheitslücke bezüglich der Handhabung von DLL-Dateien durch Windows enthält. Folgendes Angriffsszenario ist möglich: Eine verwundbare Anwendung wird zum Öffnen einer völlig legitimen Datei genutzt. Außerdem muss eine bösartige Datei vorhanden sein, die  in demselben Verzeichnis liegt und denselben Namen hat wie die legitime DLL-Datei. Wenn die angreifbare Anwendung lädt, so wird statt der legitimen DLL-Datei die bösartige Datei aufgerufen und geladen.

Möglich ist dies aufgrund von Fehlern in der Art und Weise, wie Windows die zu ladende DLL-Datei auswählt: Das Betriebssystem zieht nämlich die Bibliotheken vor, die in demselben Verzeichnis liegen wie die geöffnete Datei, anstatt die Bibliotheken in den korrekten Systemverzeichnissen zu nehmen. Jedwelcher Code in den bösartigen Dateien wird ausgeführt.

Diese Art der Attacke – auch Binary Planting oder DLL Preloading genannt – ist seit Jahren bekannt. Doch bislang stellte sie keine große Gefahr dar, denn die bösartige Datei musste bereits auf dem System des Nutzers vorhanden sein. Doch kürzlich fanden Forscher eine Möglichkeit, den Angriff über remote Netzwerkfreigaben zu starten. Deshalb hat jetzt Microsoft mit dem Advisory reagiert.

Unter den ersten, von Exploits betroffenen Anwendungen sind laut dem Online-Nachrichtendienst The Register Firefox und Powerpoint. Doch gibt es auch weitere Berichte zu Angriffen über besagte Sicherheitslücke, die auch viele andere Anwendungen betreffen.

Angesichts der Malware-Attacken wird Microsoft wohl gezwungen sein, drastischere Maßnahmen zu ergreifen. Solange es jedoch keine klare Lösung für die Lücke gibt, sollten Nutzer besonders vorsichtig mit dem Öffnen von Dateien auf Netzwerkfreigaben umgehen. Die Anwender von Trend Micro-Produkten wie Deep Security und OfficeScan mit Intrusion Defense Firewall (IDF) Plug-in sollten die neuesten Regeln herunter laden, um sich gegen diese Bedrohung zu schützen. Diese Regeln verhindern, dass DLLs von remote Freigaben geladen werden.

Kommentar: Intels Einstieg in den Sicherheitsmarkt

1 Antwort


Letzte Woche kündigte Intel an, den Sicherheits-Softwarehersteller McAfee zu übernehmen. Der Deal stellt bei einem Preis von rund 7,7 Milliarden Dollar die bisher größte Übernahme dar, die Intel je getätigt hat. Analysten bewerten den Kauf als Möglichkeit für den Chip-Hersteller, Prozessoren zu entwickeln, die Sicherheits-Scans, wie sie die McAfee-Software durchführt, beschleunigen. Laut eigenen Aussagen will der Konzern alle „mit dem Internet verbundenen Geräte“ sicherer machen.
Eva Chen, CEO und Mitbegründerin von Trend Micro kommentiert die Übernahme: „Intels Entscheidung, eine Sicherheitsfirma zu kaufen, ist eine klare Botschaft an die Branche und Investoren, dass Sicherheit absolut grundlegende Bedeutung für künftige Technologieservices und Produkte hat. Für bestehende und zukünftige Kunden versetzen die Intel-Ressourcen McAfee unter Umständen in die Lage, verschiedene Geräte und Endpunkte abzusichern. Damit würde nachgeholt, was andere Anbieter wie Trend Micro durch das Smart Protection Network bereits erreicht haben. Allerdings ist das Embedded-Softwaremodell völlig verschieden von dem Betriebsmodell von Sicherheitssoftware. Das ist somit eine gute Gelegenheit für Kunden, ihre Beziehung zu ihrem Sicherheitspartner zu überprüfen und zu evaluieren, ob sie die Services und Expertise erhalten werden, die sie benötigen.“

Begegnung mit einem Internet-Betrüger

9 Antworten

Originalartikel von David Sancho (Advanced Threats Researcher bei Trend Micro)

Folgende Geschichte über einen Autoverkauf im Internet hört sich zwar witzig an, zeigt aber vor allem, wie dreist Betrüger sind und wie sorgfältig Nutzer die Kommunikation mit Unbekannten prüfen sollten.

Ich versuche gerade, mein Auto über Facebook Marketplace zu verkaufen. Kaum hatte ich das Verkaufsangebot dort eingestellt, bekam ich eine Nachricht von einer gewissen Caroline McMillan, die Einzelheiten zum angebotenen Auto haben wollte. Die lieferte ich sofort und bekam umgehend ihre Zusage, das gute Stück kaufen und die Bezahlung über PayPal abwickeln zu wollen. Ich wurde stutzig: Einen Wagen über PayPal bezahlen, ohne einen Blick darauf geworfen zu haben? Es schrillten sofort die Alarmglocken und ein Suchlauf über Google ergab sehr schnell, dass ich es mit einem Betrüger zu tun hatte.

Jetzt wollte ich es genau wissen und gab ihr (oder wahrscheinlich ihm) meine PayPal-Adresse für die Geldüberweisung, und dann kam’s … Sie schrieb, sie müsse Geld an die Firma zur Autoabholung überweisen und die akzeptieren keine Kreditkarten. Daher benötige sie meine Hilfe, sprich, ich solle 750 Euro über Western Union überweisen. Aha, das ist also die Masche!

Ich ließ sie wissen, dass ich selbstverständlich ich nichts überweise, bevor ich von ihr das Geld auf meinem Konto habe. Erstaunlicherweise erklärte sie sich damit einverstanden und versprach, die Zahlung so schnell wie möglich zu tätigen.

Einige Minuten später erhielt ich dann eine E-Mail von PayPal. Bei genauerem Hinsehen entdeckte ich eine Reihe von Ungereimtheiten, ja sogar Schreibfehler. Die Nachricht war definitiv nicht von einem englischen Muttersprachler verfasst worden. Kurze Zeit später kam eine weitere absurde E-Mail von einem „William“ von PayPal, der mir mitteilte, die Geldsumme sei eingetroffen und ich solle nun das Geld  über Western Union an besagte Transportfirma überweisen. Wer fällt auf so etwas herein? Also ignorierte ich diese E-Mail und antwortete „Caroline“: „Ich warte auf das Geld und werde den Eingang bestätigen. Bislang ist noch nichts auf meinem Konto.“

Offensichtlich, um die Kommunikation aufrecht zu erhalten, antwortete sie mir: „Lesen Sie bitte die Mail an Sie gesendet werden sehr gut.“ So, so!

Mehr Infos ließen sich nun aus diesem Betrüger nicht herausholen, deshalb schickte ich einen Link zu einer Website, die vor diesem Betrug warnt. Um keinen Verdacht zu wecken, kürzte ich die URL mit bit.ly ab, und nach fünf Minuten sah ich auf der Stats-Seite, dass nur ein einzelner Zugriff auf diese URL getätigt worden war. Raten Sie mal woher? Nigeria!

Deshalb ist größte Vorsicht geboten, wenn jemand eine Geldüberweisung von Ihnen fordert und noch mehr, wenn das Geld über Western Union gehen soll!

Bösartige Android App spioniert Anwenderstandort aus

Hinterlassen Sie eine Antwort

Originalartikel von Bernadette Irinco (Technical Communications bei Trend Micro)

Smartphones werden bei Cyberkriminellen immer beliebter als Angriffsziel zur Verbreitung von Malware. In der vergangenen Woche hat TrendLabs( über den allerersten, im Umlauf befindlichen Android-Trojaner (identifiziert als TROJ_DRIODSMS.A) berichtet. Obwohl die damit intendierte Routine nicht ausgeführt werden konnte, zeigt der Angriff, dass die Cyberkriminellen ständig nach neuen Mitteln und Wegen suchen, um Malware zu verteilen.

Aktuell haben die Trend Micro-Bedrohungsanalysten Edgardo Diaz und Alvin Jethro Bacani eine möglicherweise bösartige App für das Android entdeckt. Die App ist unter dem Namen Tap Snake (identifiziert als TSPY_DROISNAKE.A) bekannt und zirkuliert im Android-Markt. Die App besitzt die Fähigkeit, die GPS-Standortdaten eines Benutzers über HTTP POST (gpsdatapoint.appspot.com/addpoint) zu verschicken, sobald der Anwender die Endverbraucherlizenzvereinbarung (EULA) akzeptiert.






Schlimmer noch: Die App lässt sich nicht beenden, um den Versand der Anwenderdaten zu verhindern. Dem Benutzer bleiben somit lediglich zwei Möglichkeiten – entweder die App zu deinstallieren oder den SnakeService zu stoppen. Ein entfernter Benutzer kann nämlich eine andere Android App mit dem Namen GPS SPY dazu verwenden, den Tap Snake-Standort eines Anwenders zu überwachen, solange die App auf dessen Gerät installiert ist.


Um den SnakeService zu beenden, können Anwender folgendermaßen vorgehen:

  1. Öffnen Sie Settings, dann Applications, dann Running Service
  2. Gehen Sie zu SnakeService und wählen Sie Stop.


Bedrohungsanalyst Mark Balanza rät Anwendern, noch vor der Installation zuallererst zu überprüfen, was für Berechtigungen eine App erfordert. Im vorliegenden Fall verlangt Tap Snake nicht nach GPS-Daten, fragt aber nach einer diesbezüglichen Berechtigung in EULA. Dies sollte Anwender unmittelbar dazu veranlassen, der App-Installation kritisch gegenüber zu stehen.