Archiv für den Monat: November 2010

Schließen sich ZeuS und SpyEye zusammen?

Hinterlassen Sie eine Antwort

Originalartikel von Kevin Stevens (Senior Threat Researcher bei Trend Micro)

Ende Oktober hieß es, die Rivalität zwischen den ZeuS- und SpyEye-Schadcode-Familien endete mit einem Zusammenschluss der beiden. Die ZeuS-Autoren Slavik und Monstr seien untergetaucht und hätten den Quellcode ihres Toolkits dem SpyEye-Autor Gribodemon oder Hardeman übergeben. Nach diesen Nachrichten gab es verschiedene Spekulationen über die weitere Entwicklung, und viele Sicherheitsforscher gingen davon aus, dass eine neue Malware-Familie die Funktionen der beiden früheren Familien vereinen werde.

Die Untergrund-Recherche der Trend Micro-Forscher ergab, dass die Entwicklung von SpyEye eingestellt wurde. Eine Funktion von SpyEye wird in künftige Versionen von ZeuS Eingang finden. Es geht um die Möglichkeit in SpyEye, Plugins hinzuzufügen, nachdem das Hauptwerkzeug gekauft wurde. So lässt sich später die Funktionalität erweitern, ohne dass die neuen Eigenschaften Teil der „Basis“-Funktionalität werden. ZeuS nutzte bislang Module, die nach einem Kauf des Toolkits eingepasst wurden. Neuere ZeuS-Versionen werden nun Plugins heranziehen, so wie es SpyEye derzeit tut. Das bedeutet, dass ein Cyberkrimineller lediglich ein Plugin kaufen muss, wenn er neue Funktionen haben will. Früher musste er dazu eine neue Version kaufen.

Dennoch bleiben SpyEye und ZeuS für den Moment separate Malware-Familien. Laut Informationen des Trend Micro Smart Protection Network steigt die von SpyEye ausgehende Gefahr, denn die Zahl der von dieser Malware verursachten Infektionen ist seit Juli dieses Jahres um das Zwanzigfache gestiegen. Weitere Details finden sich auch unter „Offen wie ein Buch: 84 Prozent der Angriffe auf Online-Banking-Kunden sind erfolgreich“.

Auch gibt es Gerüchte darüber, dass der ZeuS-Autor sich nicht wirklich zurückgezogen hat, sondern stattdessen an einer neuen Malware arbeitet (sei es ZeuS oder vollkommen neue Familien), die er in erster Linie an „hochwertige Kunden“ verkaufen will.

Die Sicherheitsindustrie ist auf diese Gefahr vorbereitet. Ein Zeichen dafür ist auch die Tatsache, dass Roman Hüssy, der Administrator des ZeuS Tracker, den SpyEye Tracker gegründet hat, der dieselbe Funktion für SpyEye erfüllt wie ersterer für ZeuS. Dies hilft sowohl den Strafverfolgungsbehörden als auch den Sicherheitsfirmen bei der Untersuchung und Stilllegung von SpyEye C&C Servern. Trend Micro überwacht proaktiv die SpyEye-Bedrohung, um die Anwender zu schützen.

Offen wie ein Buch: 84 Prozent der Angriffe auf Online-Banking-Kunden sind erfolgreich

Hinterlassen Sie eine Antwort

Von Martin Rösler, Director Threat Research bei Trend Micro

Die Gefahren für Online-Banking-Kunden werden dringlicher und die Kriminellen, die mit Hilfe von bösartiger Software Informationen und Geld stehlen, immer erfolgreicher. Der Sicherheitsspezialist Trend Micro hat nun einen Fall untersucht, bei dem 84 Prozent der Angriffe erfolgreich waren. Völlig zu Recht bezeichnet das Bundeskriminalamt diese Art von Kriminalität als den Bankraub des 21. Jahrhunderts. Das Erschreckende daran: Die Nutzer selbst spielen den Kriminellen in die Hände. Leicht zu erratende Passwörter oder solche, die persönliche Informationen enthalten, wie zum Beispiel die eigene Telefonnummer, lassen die Gangster in der Online-Kommunikation mit der Bank wie in einem offenen Buch lesen.

Offensichtlich wiegen sich die Menschen immer noch in zu großer Sicherheit. Es scheint noch viel zu wenig bekannt zu sein, dass diese bösartige Software heutzutage nicht mehr nur Zugangsdaten stiehlt. Vielmehr ist sie in der Lage, laufende, verschlüsselte Online-Sitzungen der Bankkunden zu kapern und zu kontrollieren. Kunden, die glauben, sie hätten gerade eine Überweisung auf ihr Zweitkonto getätigt – was ihnen auf dem Bildschirm auch scheinbar bestätigt wird – stellen erst Tage später fest, dass das Geld auf ein Konto der Kriminellen umgelenkt wurde – von wo natürlich auch die Bank es nicht mehr zurückholen kann.

Im Beobachtungszeitraum von ungefähr drei Wochen wurden von insgesamt 10.487 Domänen Zugangsdaten gestohlen. Wer glaubt, von diesem Risiko nicht betroffen zu sein, weil er sich nur auf sehr vertrauenswürdigen Websites aufhält, irrt gewaltig. Die Gefahr ist buchstäblich überall. Auch auf den Seiten allgemein bekannter, gut abgesicherter und ehrbarer Unternehmen kann man sich bösartige Software einfangen. Freilich bilden diejenigen Adressen die größte Gefahrenquelle, auf denen die Menschen sich mit anderen Internetsurfern austauschen können. So haben sich über ein Viertel der betroffenen Anwender auf nur fünf Internetadressen infiziert. Darunter finden sich bekannte Namen wie Microsoft.com, Google.com oder Facebook.com.

Der Grund ist einfach: Die Cyberkriminellen missbrauchen das natürliche Vertrauen, das die Menschen ihren Kommunikationspartnern entgegenbringen. Meistens ist ihnen gar nicht bewusst, dass der Link, auf den sie geklickt haben und der die Infektion ausgelöst hat, gar nicht von einem Bekannten oder Freund stammt.

Der Nachteil sozialer Medien ist, dass sie mit dem Trugschluss eines kostenlosen Angebots arbeiten. Doch nichts ist im Internet kostenlos! Nur die Währung lautet anders: Statt mit Euros bezahlen wir mit unseren Daten. Daher lautet die einfache Regel: Niemals auf eine Internetadresse klicken, von deren Harmlosigkeit man nicht absolut überzeugt ist.

Immer wieder machen Behauptungen die Runde, dieser oder jener Browser und diese oder jene Betriebssystemversion sei sicherer als andere. Die jüngste Trend Micro-Analyse zeigt genau das Gegenteil. So liegt der wegen seiner vermeintlich höheren Sicherheit so beliebte Browser Firefox mit 42 Prozent unangefochten an der Spitze der Einfallstore für die Cyberkriminellen. Weit dahinter folgt mit 17 Prozent der Internet Explorer von Microsoft. Auch sind neuere Versionen eines Betriebssystems nicht sicherer als ihre Vorgänger. Zwar führt Windows XP mit 53 Prozent die Liste der am meisten betroffenen Betriebssystemversionen an, während die Zahlen für Windows Vista bei 23 Prozent und Windows 7 bei 24 Prozent liegen; gemessen an der Verbreitung dieser Windows-Versionen in Europa aber, lassen sich daraus keine Rückschlüsse auf unterschiedliche Sicherheitsniveaus der Versionen ziehen. Denn nach einer Untersuchung von AT Internet lautet die Verbreitung der genannten Windows-Versionen, mit denen die Anwender im Internet unterwegs sind, 51,3 Prozent für XP, 20,2 Prozent für Vista und 17,5 Prozent für Windows 7.

Nutzer von Online-Banking kann man nur eindringlich warnen: Egal wie der eingesetzte Browser heißt oder welches Betriebssystem installiert ist – die Gefahr besteht überall. Deshalb müssen die Anwender so weit wie möglich selbst für ihren Schutz sorgen. Wesentlich ist dabei die Verwendung starker Passwörter. Grundsätzlich gilt: Die sichersten Passwörter sind keine Wörter. Die Anwender sollten stattdessen zufällige Buchstaben, Zahlen und Sonderzeichen nutzen, zwischen Groß- und Kleinschreibung abwechseln und die Passwörter in regelmäßigen Abständen ändern. Es ist ohne Wenn und Aber notwendig, nur solche Passwörter zu verwenden, die mindestens acht Zeichen lang sind, und zwar für jeden Zweck ein anderes. Konkret heißt das, dass sichere Passwörter wie das folgende Beispiel aussehen sollten: qWe4%6zUi.

Viele soziale Netzwerke arbeiten mit Begriffen, die für deutsche Muttersprachler eine andere Bedeutung haben als für Engländer oder Amerikaner. So bedeutet persönlich im angelsächsischen Raum schlicht und einfach, dass eine Information einen Bezug zu einer Person hat. Privat muss diese Information deshalb noch lange nicht sein. Deshalb gilt: Wo immer die Anwender in sozialen Netzen aufgefordert werden, persönliche Informationen preiszugeben, sollten diese in keinem Fall privat sein. Nur so lässt sich die Privatsphäre effektiv schützen, erfahren Cyberkriminelle zu wenig, als dass sie die gestohlenen Daten zu Geld machen könnten. Weitere Tipps zum richtigen Verhalten in sozialen Netzwerken sind hier (URL) erhältlich.

Zero-Day-Lücke umgeht Windows UAC

Hinterlassen Sie eine Antwort

Originalartikel von Paul Ferguson (Senior Threat Researcher bei Trend Micro)

Kürzlich wurde eine neue Zero-Day-Sicherheitslücke auf einer chinesischen Webseite veröffentlicht. Marco Giuliani entdeckte diese Nachricht und zeigt auf seinem Prevx-Blog, dass eine angreifbare Anwendungsprogrammierschnittstelle in Windows manipuliert werden kann, sodass ihr Input einen Overflow im Kernel verursacht, der wiederum den Ablauf von Zufallscode im Kernel-Modus erlaubt. Wie auch die internen Tests der Trend Micro-Experten gezeigt haben, ermöglicht der Proof-of-Concept (PAC) des Autors das Anheben der Systemprivilegien, ohne dass der Nutzer etwas davon mitbekommt. Betroffen sind auch die neuesten Windows-Versionen, die User Account Control (UAC) Mechanismen nutzen.

Noch scheint die Lücke nicht ausgenützt worden zu sein, doch ist der Zeitpunkt der POC-Veröffentlichung sehr heikel, denn die Thanksgiving-Feiertage stehen in den USA bevor. Das bedeutet, dass Nutzer mehr Zeit online verbringen, um Sonderangebote zu suchen, und Cyberkriminelle haben es somit leichter, Malware, die diese Sicherheitslücke ausnützt, zu verbreiten.

Die “koreanischen Angriffe” führen zu FAKEAV

Hinterlassen Sie eine Antwort

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Weltweit berichten die Nachrichtendienste über den Angriff Nordkoreas auf Südkorea, und wie nicht anders zu erwarten nutzen auch die Cyberkriminellen diese schlimmen Ereignisse für ihre Zwecke, um gefälschte Antivirus-Tools zu verbreiten. Innerhalb von wenigen Stunden nach den ersten Zwischenfällen waren bereits bestimmte, Korea betreffende Suchbegriffe infiziert.


Der Google Preview der Seite zeigt deren angeblichen Inhalt. Sobald das angebotene Suchergebnis angeklickt wird, öffnen sich jedoch diese (bekannten) Seiten:



Diese Malware, die die Sicherheitsexperten von Trend Micro als TROJ_FAKEAV.SMRY identifiziert haben, leitet die Nutzer auf verschiedene Seiten um, je nachdem, welche Browser sie nutzen. Ähnliche Techniken werden auch im Blog „FAKEAV nutzt verstärkt Java-Sicherheitslücken und verfeinerte gefälschte Alerts“ dargestellt.

Die Anwender der Trend Micro-Produkte sind über das Smart Protection Network vor diesen Gefahren geschützt, denn die Sicherheitsinfrastruktur erkennt mithilfe der Reputationsdienste die bösartigen Sites und Dateien, bevor diese das System des Nutzers erreichen.

Angriffe mit hybrider Malware im Kommen?

Hinterlassen Sie eine Antwort

Originalartikel von Roland Dela Paz (Threat Response Engineer bei Trend Micro)

Die Sicherheitsforscher bei Trend Micro finden immer häufiger hybride Schadsoftware-Dateien. Dabei handelt es sich um konventionelle Malware-Dateien, wie Würmer oder Trojaner, die sich selbst infiziert haben. Als Folge weisen sie beide Verhaltensweisen auf – sowohl die von Trojanern/Würmern als auch die von Dateiinfektoren.

Ein kürzlich gefundenes Sample dieser Art von Angriff umfasste einen IRC-Bot (Internet Relay Chat), den die Experten als WORM_LAMIN.AC identifiziert haben, und der zusätzlich auch von einem Mutter-Dateiinfektor PE_VIRUX.AA-O infiziert war.

Noch ist nicht klar, ob diese Art der Schadsoftware absichtlich erstellt wurde, oder ob sie das Ergebnis eines hochverseuchten Nutzersystems ist. Zum Einen betreffen diese Probleme die Malware-Analysten hinsichtlich ungenauer Namen beim Aufspüren, doch zum Anderen liegt das größere Problem bei den Nutzern in der Art, wie sie ihre betroffenen Systeme säubern. Wird die Säuberung nicht vollständig ausgeführt, so kann das dazu führen, dass eine beschädigte Variante der Malware entsteht, die dann von der Sicherheitssoftware nicht erkannt wird.

Sollten diese hybriden Varianten jedoch absichtlich entstehen, so wäre dies eine effektive Taktik, die die Cyberkriminellen anwenden, um ihre Effizienz zu erhöhen. Davon profitieren beide Gruppen – sowohl die hinter PE_VIRUX als auch die hinter WORM_LAMIN:

  • Denn PE_VIRUX ist polymorph und WORM_LAMIN-Varianten werden schwerer erkannt werden;
  • PE_VIRUX kann zusammen mit WORM_LAMIN verbreitet werden. Der Wurm agiert als ein dem Dateiinfektor „beigefügtes“ Programm;
  • Beide Schadsoftware-Familien verändern bestimmte Nutzereinstellungen so, dass die Sicherheitseinstellungen des Systems herunter gesetzt werden;
  • Die Payloads beider Malware-Familien werden sichtbar.

Zusammen führt das vollständigen Infektion eines Nutzer-PCs und damit zur Übernahme von dessen Kontrolle durch die Kriminellen. Es gibt verschiedene Szenarien zum Ablauf dieser Angriffe: Erstens lädt der Wurm den Dateiinfektor herunter, legt ihn ab und führt ihn aus (oder auch umgekehrt). Zweitens, könnte der Wurm bereits mit der Infektion durch den Dateiinfektor verbreitet werden.

Auch wenn diese Art der Gefahr noch nicht bewiesen ist, könnten angesichts der Vorteile für die Kriminellen künftig solche Attacken vorkommen.