Archiv für den Monat: Mai 2012

Betrügerische Downloads von Diablo III

Hinterlassen Sie eine Antwort

Originalartikel von Christopher Talampas, Fraud Analyst

Während die Gamer aus Europa und Nordamerika noch ungeduldig auf die Veröffentlichung des Spiels Diablo III am Dienstag warten, sind Cyberkriminelle bereits aktiv, um ihren Vorteil aus der Beliebtheit des Online-Spiels zu ziehen.

Die Sicherheitsforscher von Trend Micro haben ein Suchergebnis für “diablo 3 free download” gefunden, das Interessierte zu betrügerischen Seiten umleitet, wo sie ihre persönlichen Informationen angeben sollen – eine über Facebook häufig angewendete Taktik. Das gelb markierte Suchergebnis im Screenshot leitet auf eine Seite um, wo Gamer angeblich Diablo III herunterladen können:



Betätigt der Nutzer den Download-Button, so wird er auf folgende Seite geleitet:

Ein weiteres Suchergebnis, das vorgibt, auf eine YouTube-Seite zu führen (rot markiert), leitet auf die folgende Seite um:

Hier erhält der Nutzer Anweisungen für den vorgeblichen Download der Betaversion von Diablo III. Interessant dabei ist, dass er dreimal einen Link über Facebook angeben soll – einmal auf seiner Pinnwand und zweimal auf Spiele-Seiten.

Natürlich führt auch diese Anleitung auf eine betrügerische Seite:

Auch wenn es sehr verführerisch ist, ein so beliebtes Spiel vor jedem anderen herunterzuladen, sollten Gamer immer daran denken, dass solch windige Angebote mit Sicherheit Köder der Cyberkriminellen sind.

Diablo III ist nicht das erste Spiel, dass die Bad Guys für ihre Zwecke missbrauchen. In der Vergangenheit waren es bereits World of Warcraft und Grand Theft Auto.

Trend Micro schützt die Anwender mit Hilfe des Smart Protection Networks vor diesen Taktiken

 

.

 

Malware tarnt sich als Flash Player für Android

Hinterlassen Sie eine Antwort

Originalartikel von Karla Agregado, Fraud Analyst

Vor ein paar Wochen nutzten Cyberkriminelle beliebte Apps wie Instagram und Angry Birds als Übertragungsmedium für Schädlinge auf Android-Geräte. Diesmal fanden die Sicherheitsforscher dieselbe Social Engineering-Taktik unter Nutzung des Namens Adobe.


Diese Webseite wird auch auf russischen Domänen gehostet, ähnlich den betrügerischen Instagram- und Angry Birds-Apps. Um die Opfer zu ködern, die betrügerische Adobe Flash Player-App herunter zu laden, wird im Text auf der Webseite behauptet, die App sei mit jeder Android-Version vollständig kompatibel.


Folgen Nutzer der Aufforderung zum Herunterladen und Installieren der App, so verbindet sich die Site mit einer weiteren URL und lädt eine bösartige .APK-Datei (ANDROIDOS_BOXER.A) herunter. Der Schädling kann ohne Zustimmung des Nutzers Nachrichten an einen Bezahldienst schicken. Diese Art der Android-Malware stellt nur einen der in der Infografik A Snapshot of Android Threats identifizierten Typen dar.

Weitere Nachforschungen ergaben, dass es eine ganze Reihe von URLs gibt, die unter derselben IP-Adresse wie diese bestimmte Website gehostet werden. Allein die Namensgebung lässt schon darauf schließen, dass Android das beliebteste Ziel dieser Art von Angriffen ist.

Trend Micro schützt Android-Systeme mit Hilfe der Mobile Security Personal Edition davor, auf diese bösartigen Sites zuzugreifen. Die Sicherheits-App scannt zudem jede App, bevor ein Nutzer sie installiert.

Die aktuell am häufigsten ausgenützten Schwachstellen

1 Antwort

Originalartikel von Ryan Flores, Senior Threat Researcher

Gezielte Angriffe als Teil von APT-Kampagnen (Advanced Persistent Threat) setzen in ihren Social Engineering-Betrügereien meist Exploit-Dokumente ein. Diese dienen dann als unverdächtige Überbringer der bösartigen Fracht in die Zielcomputer. Es kann daher von Bedeutung sein, einige Kenntnisse über die am meisten ausgenützte Software und die Sicherheitslücken zu haben.

Die Analyse der Sicherheitsforscher von Trend Micro hat gezeigt, dass MS Word die am häufigsten missbrauchte Anwendung von MS Office ist.

Der Hauptgrund dafür ist, dass zwei der zuverlässigsten Exploits die Sicherheitslücken CVE-2010-3333 und CVE-2012-0158 – beides MS Word-Lücken – ausnützen.

An dritter Stelle steht CVE-2009-3129, eine MS Excel-Sicherheitslücke.

 

Während der letzten zwei Jahre haben Exploit-Dokumente über CVE-2010-3333 sehr häufig Schädlinge installiert. Im April aber wurde diese Lücke in der „Beliebtheitsskala“ von CVE-2012-0158 überholt.

Obige Darstellung lässt folgende Schlussfolgerungen zu:

  • Zuverlässige Exploits haben eine lange Lebensdauer. Angreifer nutzen lieber alte, zuverlässige Exploits wie CVE-2010-3333, anstatt mit neuen zu experimentieren.
  • Viele Unternehmen aktualisieren ihre Software nicht. Der extensive Missbrauch einer zwei Jahre alten Sicherheitslücke zeigt, dass Patch-Level häufig nicht aktualisiert werden.
  • Neue zuverlässige Exploits werden schnell angenommen. Innerhalb von nur zwei Wochen konnte CVE-2012-0158 die alte CVE-2010-3333 in der Häufigkeit der Anwendung überholen. Dies zeigt auch, dass das Zeitfenster für das Schließen von kritischen Sicherheitslücken schmal ist, und daher bei den Verantwortlichen Disziplin und Sorgfalt gefragt sind.

Trend Micros Deep Security schützt die Anwender vor allem über die Regel 1004498 – Word RTF File Parsing Stack Buffer Overflow Vulnerability and 1004973 – MSCOMCTL.OCX RCE Vulnerability For Rich Text File(CVE-2012-0158).

 

Trend Micros virtuelle Patches schließen Microsoft-, Oracle- und Adobe-Lücken

Hinterlassen Sie eine Antwort

Originalartikel von Dianne Lagrimas, Technical Communications

Neben den sieben als “light” einzustufenden Microsoft-Bulletins findet sich auch eines (MS12-034), das eine Reihe von Lücken in Windows, MS Office, Silverlight und dem .NET Framework stopft. Microsoft schreibt, dieses Bulletin ersetzt MS11-087, das Bulletin, das die Win32k TrueType Font (TTF)-Schwachstelle schließen soll, die vom Duqu-Schädling im November 2011 ausgenutzt worden war. Details dazu gibt es in der Threat Encyclopedia.

MS12-034 listet einige Versionen von dadurch betroffener Software auf. Anwender von Trend Micro Deep Security können die Regeln 1005009 – Win23k TrueType Font Parsing Vulnerability (CVE-2012-0159) und 1005009 – .NET Framework Buffer Allocation Vulnerability (CVE-2012-0162) anwenden, um sich gegen Angriffe über diese Schwachstellen zu schützen. Weitere Informationen zu den in diesem Monat gepatchten MS-Lücken gibt es in der Threat Encyclopedia.

Auch Oracle hat eine Sicherheitswarnung herausgebracht, die auf eine Sicherheitslücke in TNS listener verweist, die in mehreren Versionen des Oracle Database Servers vorhanden ist. Der Anbieter empfiehlt Workarounds aus dem Kundenportal aufzubringen. Die Schwachstellenkomponente betrifft auch andere Oracle-Produkte wie die Oracle E-Business Suite. Anwender von Deep Security können sich vor dieser Gefahr schützen, indem sie die Regel 1004995 – Oracle Database TNS Listener Poison Attack Vulnerability anwenden.

Schließlich hat Adobe ein Sicherheits-Update für den Flash Player für Windows, Macintosh, Linux und Android-Systeme veröffentlicht. Gegen CVE-2012-0779-Exploits hilft die Regel 1005000 – Adobe Flash Player Object Confusion Vulnerability (CVE-2012-0779).

Android-Apps: Wer ist Freund? Wer ist Feind?

Hinterlassen Sie eine Antwort

von Richard Werner, Regional Product Marketing Manager EMEA

Ja, Android ist grundsätzlich ein sicheres Betriebssystem. Es erkennt seine Nutzer als mündige Bürger an und fragt sie bei bestimmte Aktionen der Apps um Erlaubnis. Diese Einstellung überträgt ihnen eine Verantwortung, die viele gar nicht überschauen können und möglicherweise auch gar nicht wollen. Wohl deshalb vertrauen viel zu viele dem „Schwarm“ und seinen Empfehlungen – eine Fehlentscheidung, denn allzu oft handelt es sich dabei um Fälschungen. Welche App ist also Freund, welche Feind?

Android gibt bei Neuinstallationen genau bekannt, was eine App dem jeweiligen Gerät „antut“. Leider sind für die meisten Nutzer die Konsequenzen nicht genauso transparent. Und diese Tatsache ergibt einen optimalen Nährboden für die Schattenwirtschaft. Jüngstes Beispiel hierfür ist eine neue bösartige App namens TigerBot, die bislang nur im chinesischen „Markt“ erhältlich ist. Die Analyse des Schädlings durch die Trend Micro-Sicherheitsforscher hat gezeigt, dass es sich um ein Spionagetool handelt, welches noch nicht voll entwickelt ist. Es bietet alle Optionen, von der Kontrolle über SMS, über den Aufbau eines Botnetzes bis hin zum gezielten Einsatz als „Wanze“, indem die Schadsoftware Anrufe aufzeichnet.

Interessanterweise tarnt sich die App nicht durch ein Nutzerprogramm. Auch geht aus dem Code hervor, dass sie noch wesentlich umfangreichere Möglichkeiten bietet, als bereits aktiviert wurden (eine genauere technische Analyse findet sich hier). Unwillkürlich drängt sich die Frage auf, ob hier derzeit eine Testsoftware zum Verkauf angeboten wird. Zu erwarten ist, dass es verschiedene Varianten dieser App geben wird — zugeschnitten auf unterschiedliche Zielgruppen, getarnt durch Nutzerprogramme,  vielleicht kostenlos oder auch nicht. Welchen Schaden sie verursacht, hängt dann von den Vorlieben desjenigen ab, der sie steuert.

Doch unabhängig davon, wie die Variante aussieht, Android wird den Nutzer davon informieren und nachfragen, ob er das alles zulassen will. Allerdings steht bei künftigen Varianten zu befürchten, dass die Anwender das Schadpotenzial nur sehr schwer erkennen können und dann doch auf die gefälschten Empfehlungen hereinfallen.

Und um das Ganze noch komplizierter zu machen: Falls wir uns nicht ganz sicher sind, greifen wir vielleicht noch zu einem anderen Hilfsmittel – natürlich wieder eine App. Die hat dann mit Virenscanning und App Reputation zu tun. Aber wenn wir deren Berechtigungen lesen, fühlen wir uns gleich wieder an Obiges erinnert. Auch solche „guten“ Werkzeuge greifen tief ins System ein, schließlich wollen sie nicht nur warnen, sondern auch schützen. Nehmen Sie deshalb keine unbekannten Hersteller, die es vielleicht sogar kostenlos anbieten, sondern vertrauen Sie dem, was Sie kennen wie etwa Trend Micros Mobile Security Personal Edition. Betätigen sie den „Gefällt mir“-Button nur bei Apps, die Sie nicht nur mögen, sondern von denen Sie sicher sind, dass sie keinen Schaden verursachen.