Archiv für den Monat: Februar 2012

Syrien-Konflikt: Gezielte Angriffe über DarkComet auf Oppositionelle

Hinterlassen Sie eine Antwort

Originalartikel von Kevin Stevens und Nart Villeneuve, Senior Threat Researchers

Im aktuellen Syrien-Konflikt hat das Internet eine nicht unerhebliche Rolle gespielt. Die Opposition nutzte Plattformen wie Facebook für ihre Organisation und zur Verbreitung ihrer Nachrichten. Als Reaktion versuchten regimetreue Gruppen wie die Syrian Electronic Army, Websites zu blocken und Facebook-Seiten mit Spam zuzumüllen. Aktuelle Berichte nun zeigen eine neue Dimension dieser Aktivitäten auf und sprechen von gezielten Malware-Angriffen gegen die Sympathisanten der Opposition.

Dark Comet RAT als “syrische Spyware” eingesetzt
Die dabei verwendete Schädlingssoftware verbreitet sich über Skype-Chats. Sobald ein Nutzer den Schädling ausführt, verbindet er sich mit einem Command & Control-Server in Syrien unter BLOCKED}.{BLOCKED}.0.28, der zu einem IP-Bereich des Syrian Telecommunications Establishments gehört. Der Schädling, der als „komplex“ und „unsichtbar“ beschrieben wurde, gehört nach Erkenntnissen der Sicherheitsforscher von Telecomix zu dem weitverbreiteten Remote Access Trojan (RAT) DarkComet. Trend Micro-Analysen einiger Muster ergaben die Versionen 3.3 und 5 des Schädlings. Einige der Muster sind „Downloader“, die über HTTP Verbindung zu derselben IP-Adresse aufnehmen und eine verschlüsselte Update.bin-Datei herunterladen, die danach entschlüsselt und ausgeführt wird – die Payload des DarkComet RAT.

Dabei handelt es sich um einen vollständigen RAT, der über eine Webcam Bilder machen kann, über ein an einen PC angeschlossenes Mikrofon Gespräche mithört und die Kontrolle über die infizierte Maschine übernimmt. Die für die Täter wichtigste Funktion aber ist das Keylogging und die Möglichkeit der Dateiübertragung. Auf diese Weise können die Angreifer jede Datei auf die infizierte Maschine laden und auch Dokumente stehlen.
DarkComet befindet sich noch in der Weiterentwicklung, und die Version 5 gibt es erst seit dem 15. Januar. Nach der Veröffentlichung der Berichte über dessen Verwendung in Syrien hat der Autor des RAT sein Bedauern darüber ausgedrückt und erklärt, er werde einen DarkComet-Detector und –Remover den Oppositionellen in Syrien zur Verfügung stellen.

Muster 1: Direktes DarkComet Download

Die Malware mit einem Facebook-Icon, von der der CNN-Artikel spricht, wurde wie bereits erwähnt über Skype verbreitet. Trend Micro hat das Muster als BKDR_ZAPCHAST.SG identifiziert. Diese Version 5 verbindet sich mit {BLOCKED}.{BLOCKED}.0.28 über Port 885. Während der Tests konnten die Forscher den Verkehr von der Testmaschine auf eine andere umleiten, die den DarkComet5-Client enthielt. Auf diese Weise waren die Forscher in der Lage, die volle Kontrolle über die Testmaschine zu erlangen.

Muster 2: die zweite Phase von DarkComet

Ein weiteres Muster verhielt sich anders. Das ursprüngliche Executable, BKDR_BREUT.A, hinterlegt zwei ausführbare Dateien. Die erste davon, zeigt sich dem infizierten Nutzer als Mac Address Changer Tool.

Dies scheint ein einfacher Köder zu sein, denn zur gleichen Zeit verbindet sich die zweite ausführbare Datei mit {BLOCKED}.6{BLOCKED}.0.28 und lädt eine weitere Datei herunter.

Dabei handelt es sich um eine frühere Version von DarkComet (3.3), die sich mit {BLOCKED}.{BLOCKED}.0.28 über Port 778 verbindet. Auch in diesem Fall leiteten die Forscher den Netzverkehr von der Testmaschine auf eine weitere um und konnten diese nun kontrollieren.

Bislang haben die Sicherheitsforscher zehn Muster analysiert, die alle Verbindung zu derselben IP-Adresse aufnahmen. Während einige sich als Downloader entpuppten, die verschiedene Köder auf dem Bildschirm anzeigten, besteht die tatsächliche Payload aus dem DarkComet RAT in der Version 3.3 oder 5.
Dies zeigt, dass die gezielten Angriffe mit weitverbreiteten Do-it-yourself Malware-Tools ausgeführt werden können.

 

Betrügerische Geldquelle: “Fan Apps” mit aggressiver Werbung

Hinterlassen Sie eine Antwort

Originalartikel von Kervin Alintanahin, Threats Analyst

Die Zahl der betrügerischen Apps im Android Market steigt. Erst kürzlich gab es die Meldung zu dem Entwickler, der beliebte App-Namen für seine Zwecke missbraucht hat. Jetzt entdeckten die Sicherheitsforscher von Trend Micro weitere 37 Apps mit ähnlichen Verhaltensmustern wie die bereits bekannten. Es sind so genannte „Fan Apps“, das heißt, es handelt sich nicht um die originalen Spiele der ursprünglichen Entwicklers.

Bereits beim Ansehen der Webseite der Fan Apps fällt Merkwürdiges auf. Die Website des Entwicklers führt zu toten Links wie a.com oder eine falsch geschriebene Google-Domäne (googel.com).

Auch haben alle aufgelisteten Apps den gleichen Screenshot. Sobald eine solche App installiert wird, zwingt sie den Nutzer, sie auf Facebook zu teilen und eine Bewertung für den Android Market abzugeben. Auch wird aggressiv Werbung als Benachrichtigung angezeigt und Abkürzungen auf dem Home-Bildschirm des infizierten Geräts erzeugt.



Das größere Problem jedoch ist, dass die Apps wichtige Informationen an einen bestimmten Remote-Server schicken, einschließlich Betriebssystemversion, International Mobile Equipment Identity (IMEI) und Telefonnummer.

Es gibt eine Möglichkeit, die Werbung zu stoppen. Doch die meisten Nutzer kommen nicht drauf, denn die Option versteckt sich auf der Beschreibungsseite der App.

Trend Micro hat Google von diesen Apps in Kenntnis gesetzt, und der Anbieter hat sie bereits aus dem Android Market entfernt. Doch dies beseitigt die Gefahr nicht ganz, denn Cyberkriminelle können sie auf andere Sites, etwa in die App Stores von Drittanbietern oder Foren, hochladen. Der Trend zu Apps, die aggressive Werbung enthalten, ist zudem ungebrochen – Nutzer sollten besonders vorsichtig sein, wenn sie Apps installieren. Mehr zu diesem Trend enthält der Blogeintrag „Search zu Geld machen – eine neue Gefahr für mobile Plattformen“.

Unabhängig davon, wo diese Apps angeboten werden, kann Trend Micro sie als ANDROIDOS_FAKEAPP.SM identifizieren und Anwender vor Schaden bewahren. Informationen zu mobilen Gefahren sowie Tipps, wie mobile Geräte zu schützen sind, finden sich auf dem Mobile Threat Information Hub.

 

Microsoft-Patches und Trend Micro Updates verfügbar

Hinterlassen Sie eine Antwort

Originalartikel von Danielle Veluz, Technical Communications

Microsoft stopft am heutigen Patch Tuesday 23 Sicherheitslücken, wobei vier der neun Bulletins als kritisch eingestuft sind. Die Korrekturen beziehen sich auf kritische Fehler im Internet Explorer, infolge derer nach dem Besuch einer infizierten Website bösartiger Code ins System eines Nutzers gelangen kann. Andere Patches schließen Lücken im Windows Kernel, dem .Net-Framework, in Silverlight und in SharePoint. Die technischen Details dazu liefert die Microsoft Übersichtseite  oder auch die  Trend Micro Threat Encyclopedia.

Anwender von Trend Micros Deep Security und von OfficeScan mit dem Plugin der Intrusion Defense Firewall finden auch Updates zu ihren Produkten, die sie vor den heute öffentlich gemachten Sicherheitslücken schützen – noch bevor die Administratoren die Microsoft-Patches aufbringen können.

INFOGRAFIK: die Online-Feinde in der virtuellen Nachbarschaft

1 Antwort

Originalartikel von Gelo Abendan, Technical Communications

Mit den verschiedenen Beziehungen der Nutzer untereinander und gemeinsamen Gewohnheiten ist das Internet zu einem sozialen Knotenpunkt geworden, ähnlich einer virtuellen Nachbarschaft. Daran wollen auch die Bösen teilhaben, natürlich nicht mit freundlichen Absichten.

Als Schutz empfiehlt sich dringend der Einsatz einer Sicherheitslösung, aber genauso wichtig ist es, über die Gefahren Bescheid zu wissen. Trend Micros Infografik gibt einen guten Überblick über die unterschiedlichen Feinde in der virtuellen Nachbarschaft:

Ein I für ein L – der Betrug im Android Market ist perfekt

1 Antwort

Originalartikel von Kervin Alintanahin, Threats Analyst

Die Sicherheitsexperten von Trend Micro sind im Android Market auf einen Entwickler gestoßen, der beliebte Apps dazu missbraucht, die Nutzer zum Herunterladen von infizierten Apps zu verleiten.

Der Screenshot mit der Liste der Andoroid-Apps zeigt, dass der Name des Entwicklers der dort angebotenen Spiele dem des Autors des beliebten Spiels „Angry Birds“ sehr ähnelt. Dennoch ist dieses Spiel in der Liste der angebotenen Apps nicht vorhanden.

Bei genauerem Hinsehen erkennt der aufmerksame Nutzer, dass es nicht der Angry-Bird-Entwickler Rovio Mobile Ltd ist, der hier seine Programme anpreist. Das „L“ in Mobile ist nämlich eigentlich ein „I“, sodass der kleingeschriebene Name „rovio mobiie“ lautet – ein raffinierter Trick. Nutzer müssten sich unter “More from developer” den tatsächlichen Namen ansehen, um nicht hinters Licht geführt zu werden.


Die Namen und Icons der Apps stammen aus bereits vorhandenen Programmen. Installiert ein Nutzer eine der Apps aus der Liste, so stellt das Programm ein Bild dar (stammt aus der Original-App), das einen Text umfasst, in dem der Nutzer aufgefordert wird, den vorhandenen Link anzuklicken, um die Installation fertig zu stellen.


Damit wird er auf eine Webseite umgeleitet, wo er verschiedene Angaben machen muss, um die „Vollversion“ zu öffnen. Tut er dies, landet er auf Werbeseiten, wofür wiederum der betrügerische Entwickler Geld kassiert.


App Stores stellen idealerweise eine sichere Umgebung für mobile Nutzer zur Verfügung, wo sie vorgeprüfte Anwendungen auf ihre Geräte laden können. Dabei lässt sich mit dem „Reputationssystem“ prüfen, ob die beliebten Apps wirklich echt sind.

Doch scheinen auch die Cyberkriminellen dazuzulernen und missbrauchen das Reputationssystem für ihre Zwecke, wie etwa im Fall des bekannten Rovio Mobile. Umso wichtiger ist es, sich immer gut zu informieren!

Weitere Informationen zur Installation von „gutartigen“ Android-Apps gibt der Blogeintrag „Android-Apps: Wie trennt man die Spreu vom Weizen?“ oder auch der Mobile Threat Information Hub.

Trend Micro hat die oben dargestellten Apps als ANDROIDOS_FAKECLICK.ER identifiziert.