Archiv für den Monat: April 2012

Trend Micro gemeinsam mit Facebook für bessere Sicherheit in Social Networks

Hinterlassen Sie eine Antwort

Originalartikel von Trend Micro

Trend Micro hat eine Partnerschaft mit Facebook geschlossen. Der Anbieter des größten sozialen Netzwerks hatte eine Sicherheitsinitiative ins Leben gerufen, um seine mehr als 900 Millionen Nutzer besser gegen die Bedrohungsvielfalt zu schützen.

Im Rahmen dieser Partnerschaft wird Trend Micro seine Threat-Intelligenzfähigkeiten, vor allem das Wissen über bösartige Websites, Facebook zur Verfügung stellen. Das bedeutet, dass auch die Facebook-Nutzer, die keine Trend Micro-Lösungen einsetzen, durch das Smart Protection Network gegen die Gefahren im sozialen Netzwerk geschützt sind.

Zu den Gefahren für Facebook-Nutzer gehören so genannte Survey Scams. Dabei handelt es sich um Webseiten, auf denen Nutzer sensible Informationen im Tausch gegen einen angeblichen Gewinn oder einen kostenlosen Download preisgeben soll. Auf diese Seiten gelangen die Opfer typischerweise über bösartige Pinnwandveröffentlichungen, die Berühmtheiten, Ereignisse (Tod von Whitney Huston) oder sonstige beliebte Themen als Köder nutzen.
Eines der jüngsten Beispiele dafür ist die gefälschte Nachricht, Justin Bieber habe einen Fan niedergestochen. Wer diese Nachricht anklickt, wird auf eine bösartige Site umgeleitet.

Füllt das Opfer die Abfrage für das Angebot “win an iPad 2 UK“ aus, wird der Nutzer auf verschiedene weitere Seiten mit Videos (und betrügerischen Umfragen) weiter geleitet


Diese und ähnliche Gefahren warden durch das Trend Micro Smart Protection Network geblockt – und künftig dank der Partnerschaft auch von Facebook.

Die folgende Infografik zeigt, wie Trend Micro Facebook-Nutzer vor den Angriffen schützt:

 

Usenix 2012: Beobachtungen zu den Bedrohungstrends

Hinterlassen Sie eine Antwort

Originalartikel Paul Ferguson, Senior Threat Researcher

Auf der Usenix LEET 2012 in San Jose, Kalifornien, präsentierte Trend Micros Threat Research Group einen Überblick über die aktuellen Bedrohungen und die diesbezüglich wichtigsten Entwicklungen. Dies sind die Haupttrends im Bereich der Bedrohungen:

Entwicklung und Professionalisierung von Exploit Kits

Exploit Kits, wie das beliebte Black Hole Exploit Kit, haben sich zur meist genutzten „Waffe“ entwickelt und dienen dazu, die Angriffsfläche enorm zu erweitern. Dies und auch die Tatsache, dass sie einfach im kriminellen Untergrund gehandelt werden, lässt darauf schließen, dass ihre Anwendung noch weiter an Popularität gewinnen wird.

Zunehmende Reife der Traffic Direction Systems (TDS)

TDS, wie Sutra TDS, dienen dazu, den Datenverkehr der Opfersysteme auf verschiedene Zielseiten umzuleiten, etwa solche mit Exploit Kits, gefälschter Antivirussoftware, vorgebliche Pharmaseiten und andere, — je nach Ziel der Kampagne (Pay-per-Click, Pay-per-Install oder damit verbundene Kampagnen). Die TDS sind sehr effizient und werden zunehmend genutzt.

Kleinere, diversifizierte Botnetze

Statt wie bisher große, monolithische Botnetze aufzubauen, wechseln die Cyberkriminellen zu kleineren, unterschiedlicheren Botnetzen. Der Grund: Damit vermeiden sie, ihre gesamte Infrastruktur zu verlieren, falls eines der Netze abgeschaltet wird, sei es weil Domänen gesperrt, Kommunikationsdienste unterbrochen werden oder die Polizei Computer beschlagnahmt.

Modularisierung

Vor allem Bank-Trojaner wie ZeuS, SpyEye oder Carberp, werden modularer gestaltet, wobei spezielle Plugins hinzukommen, die bei Bedarf angesteckt werden. Beispielsweise stellen Plugins für Screen Grabber, Back Connect oder Web Injects Funktionssets dar, die sich einzeln hinzu kaufen lassen. So entsteht ein Markt für spezialisierte Kriminalität.

Aufkommen mobiler Gefahren

Unabhängig von der schieren Anzahl mobiler Gefahren, die in den verschiedenen Marketplaces auftauchen, handelt es sich dabei vor allem um Proof-of-Concepts. Natürlich sind sie bösartig, können Informationen stehlen, Konten kapern, Premium SMS versenden und so weiter, doch stellen sie derzeit noch keine „signifikante Kriminalität“ dar. Auch gibt es keine tatsächlichen gemeinsamen Versuche, E-Commerce Bankanwendungen anzugreifen. Die Experten erwarten jedoch mit der nächsten Generation der Geräte, die NFC (Near Field Communications) vollständig unterstützen, diesbezüglich eine dramatische Wende. Dann werden nämlich viel mehr Verbraucher den E-Commerce und Finanzanwendungen nutzen – somit lohnt sich dann auch der Angriff.

Weitere Angriffe auf soziale Netzwerke

Soziale Netzwerke sind ein leichtes Ziel für Cyberkriminelle, den die Nutzer sind häufig naiv und veröffentlichen viel zu viele persönliche Informationen. Zudem lassen sie sich leicht dazu verführen, auf Köder-Links zu klicken. Es gibt wenig Hoffnung, dass sich hier etwas ändert.

Angriffe auf kritische Infrastrukturen

Die Betreiber von Netzwerken, die als kritische Infrastruktur bezeichnet werden, sind private Unternehmen, die nicht immer die besten betrieblichen Sicherheitsentscheidungen treffen, deren Sicherheitsbewusstsein häufig zu wünschen übrig lässt und die somit Angreifern ein leichtes Ziel bieten. So lange sich hier nichts ändert werden die Angriffe auch weiter gehen.

Angriffe durch HTML5

Die weitere Verbreitung von HTML5 ermöglicht eine homogene Angriffsfläche. Einzelne Fälle der Ausnutzung von Schwachstellen über JavaScript, Websockets, Cross-Site Scripting und Cross-Site Request-Fälschung sowie Java und andere gibt es bereits. Doch HTML5 ermöglicht die Ausnutzung von Browsern-Schwachstellen, unabhängig vom darunter liegenden Betriebssystem, um so genannte Browser-Botnetze aufzubauen. Weitere Informationen dazu liefert die Serie HTML5 – Die größten Gefahren und Gefahren und kein Ende..

Mehr Datendiebstähle über gezielte Angriffe

Advanced Persistent Threats (APT) funktionieren, weil Social Engineering wirkt. Anscheinend muss die Technik nicht sehr ausgeklügelt sein, um zu funktionieren. Über diese Methode kommen die meisten Dateneinbrüche und –diebstähle, Spionagefälle usw.

Schwer zu fassende Cyberkriminalität

Schlaue Cyberkriminelle wissen, wie sie ihre Chancen am besten nützen können. Sie wissen welche Domänen-Registrare (oder Reseller) und Hosting Provider sie unbedenklich wählen können, weil sie auf Missbrauch nur sehr langsam reagieren. Auch verstehen sie es, unauffällig zu handeln und ihre „Dienste“ so zu platzieren, dass sie ihre Betriebsdauer maximieren. Dazu gehört auch, in aufstrebenden Märkten zu agieren, wo es noch keine effektiven Organisationen für Gegenmaßnahmen gibt, etwa nationale oder regionale CERTs.

In den letzten neun Monaten sind einige transozeanische Kommunikationskabel nach Afrika gelegt worden – ergibt unter Umständen einen völlig neuen Markt für Internetdienste. Viele davon werden mobil sein, doch die Infrastruktur und das Hosting bleibt am Boden verankert. Wichtig in diesem Zusammenhang ist es, parallel ein Framework aufzusetzen, um die Cyberkriminalität dort in den Griff zu bekommen.

 

Olympiade 2012 wird von Betrügern als Köder missbraucht

Hinterlassen Sie eine Antwort

Originalartikel von Chloe Ordonia, Anti-Spam Research Engineer

Die im Sommer stattfindenden Olympischen Spiele in London werden von der ganzen Welt mit größter Spannung erwartet. Wen wundert es da, dass die Cyberkriminellen dieses Ereignis als Köder für ihre Zwecke missbrauchen. Erst kürzlich entdeckten die Sicherheitsforscher von Trend Micro einen solchen Betrugsversuch über E-Mail. Doch anders als sonst üblich handelt es sich nicht um den angebliche Gewinn von Eintrittskarten, sondern die vermeintliche Nachricht von offizieller Stelle warnt Empfänger vor gefälschten Websites und Organisationen, die angeblich Eintrittskarten für das Ereignis verkaufen.

Um mehr Vertrauen zu erweckend enthält die Mail das offizielle Olympia-Logo. Eine angehängte doc-Datei gibt vor, eine Liste der falschen Eintrittskartenverkäufer zu umfassen. Stattdessen enthält sie den Trojaner TROJ_ARTIEF.ZIGS. Der Schädling nutzt eine Lücke (RTF Stack Buffer Overflow Vulnerability) aus, um den Backdoor-Schädling BKDR_CYSXL.A abzulegen. Dieser kann verschiedene bösartige Aktionen durchführen, etwa Dateien löschen und erstellen, oder auch das infizierte System herunterfahren.

Es ist nicht das erste Mal, dass Olympische Spiele als Köder herhalten müssen. Deshalb ist erhöhte Vorsicht bei Nachrichten und Anhängen mit entsprechenden Inhalten geboten. Anwender von Trend Micro-Lösungen sind vor dieser Gefahr über das Smart Protection Network geschützt, denn die Sicherheitsinfrastruktur erkennt und löscht diesbezügliche Malware. Auch Trend Micro Deep Security schützt Systeme davor, über Rule 1004498 – Word RTF File Parsing Stack Buffer Overflow Vulnerability infiziert zu werden.

 

Falsche Skype-Verschlüsselungssoftware enthält Trojaner DarkComet

Hinterlassen Sie eine Antwort

Originalartikel von Nart Villeneuve, Senior Threat Researcher

Das Internet spielt im anhaltenden Syrien-Konflikt eine interessante Rolle. Angriffe auf syrische Oppositionelle hatte es bereits im Februar gegeben, und immer wieder gibt es gezielte Phishing-Attacken via Facebook und YouTube. Ein CNN-Report berichtet nun über einen Schädling, der sich über Skype verbreitet.

Die Trend Micro Sicherheitsforscher haben eine Webseite entdeckt, die eine vermeintliche Verschlüsselungssoftware für Skype verbreitet. Die Seite wird in Syrien unter {BLOCKED}encription.sytes.net gehostet – auf demselben Server, der auch in vergangenen Angriffen als C & C-Server genutzt wurde. Auf der Webseite ist ein YouTube-Video eingebettet, das vorgibt, von „IT Security Lab“ zu kommen und die Skype-Kommunikation zu verschlüsseln.

Lädt ein Nutzer die Datei herunter, so erhält er das vermeintliche Verschlüsselungsprogramm Skype Encription v 2.1. Dahinter steckt jedoch BKDR_METEO.HVN.

Die Analyse der Datei lässt vermuten, dass “SyRiAnHaCkErS” die Autoren des Angriffs sind. Die Software generiert eine Verbindung:

GET /SkypeEncription/Download/skype.exe HTTP/1.1
Host: {BLOCKED}.{BLOCKED}.0.28
Connection: Keep-Alive

Die herunter geladene Datei skype.exe enthält den Schädling DarkComet Version 3.3 und nimmt Verbindung auf mit {BLOCKED}.{BLOCKED}.0.28 auf Port 771. Sobald BKDR_ZAPCHAST.HVN installiert ist, können die Angreifer mithilfe von DarkComet RAT die Kontrolle über das infizierte System übernehmen. Übrigens nutzt Skype für Anrufe, Video-Konferenzen und Instant Messages AES-Verschlüsselung.

Q 1 Bedrohungsbericht: Mobile Gefahren auf dem Vormarsch

1 Antwort

Originalartikel von Trend Micro

Die Analyse der Sicherheitsbedrohungen im ersten Quartal dieses Jahres zeigt eine leichte Verschiebung des Fokus von Angriffen, die zu Datenverlusten führen auf solche, die mobile Geräte im Visier haben – und da in erster Linie Android-basierte Smartphones, da sich diese steigender Beliebtheit erfreuen. Trend Micro hat in diesen ersten drei Monaten bereits etwa 5000 neue bösartige Android-Apps entdeckt.

Zum „Erfolg“ zielgerichteter Angriffskampagnen wie „Luckycat“ tragen auch der zunehmende Einsatz privater Endgeräte im Unternehmen, die wachsende Anzahl neuer Technologien und Plattformen sowie Outsourcing bei, die die Angriffsfläche für die Kriminellen vergrößert haben. Wie bereits in der Vergangenheit spielen immer noch die über Social Engineering-Techniken ausgelegten Köder eine wichtige Rolle, um Opfer dazu zu bringen, die infizierten Links anzuklicken, Malware herunterzuladen oder bösartige Webseiten aufzurufen. Auch das Interesse der Kriminellen an Plattformen wie Pinterest zeigt, dass mit steigender Beliebtheit auch die Bedrohungen kommen.

Die letzten Monat waren durch verschiedene Arten von Bedrohungen geprägt, doch allen gemeinsam ist die Mobilität. Nähere Einblicke in die Sicherheitslandschaft des ersten Quartals 2012 gibt der ausführliche Report “Security in the Age of Mobility”.