Archiv für den Monat: Juni 2012

Spam-Techniken legen Olympiade-Interessierte herein

Hinterlassen Sie eine Antwort

Originalartikel von Maydalene Edsel Salvador, Anti-Spam Research Engineer

Cyberkriminelle lassen bekanntlich keine Gelegenheit zum Geldverdienen ungenützt. Große Sportereignisse wie die EURO 2012 und die Olympischen Spiele in London sind für die Bad Guys diesbezüglich Goldgruben. Bereits jetzt haben die Sicherheitsexperten von Trend Micro eine Reihe von Spam-Nachrichten entdeckt, die unter verschiedenen Vorwänden die Angabe persönlicher Daten anfordern. Wer in diese Fallen tappt, riskiert den Diebstahl seiner Daten oder die Infektion seines Systems.

Die erste Spam-Nachricht mit Bezug auf die Olympischen Spiele bietet angeblich Freikarten gegen die Angabe der persönlichen Daten wie Adresse, Beruf oder Familienstand. Eine Variante dieses Spams gibt vor, eine Benachrichtigung über den Gewinn einer hohen Geldsumme zu sein. Die Betrüger können dann die gesammelten Informationen für weitere kriminelle Aktivitäten nutzen oder sie  weiter verkaufen.

Andere Nachrichten enthalten einen Anhang, der als „Gewinnbenachrichtigung“ mit Einzelheiten zum Preis getarnt ist. Neugierige Nutzer, die diese Dateien herunterladen und ausführen, infizieren ihren Computer mit Malware. Nachfolgend ein Beispiel einer solchen Mail:

In einer weiteren Spam-Serie umfasst der Anhang einen Trojaner (TROJ_ARTIEF.ZIGS), der die RTF Stack Buffer Overflow Vulnerability (CVE-2010-3333) ausnützt. Der Schädling hinterlässt eine Hintertür BKDR_CYSXL.A, die Verbindung zu entfernten Nutzern aufbaut, um Befehle zu empfangen. Das Schlimme daran ist, dass Systeme, die mit Backdoors infiziert wurden, auch empfänglicher für weitere Bedrohungen sind, etwa Schädlinge, die Online-Banking- Informationen stehlen.

Der dritte Spam-Typus schließlich scheint auf den ersten Blick harmlos. Um authentischer zu wirken, tarnen sich die Nachrichten als bekannte Firmen wie Visa und enthalten die angeblichen Kontaktdaten einer Mittelsperson im Zusammenhang mit dem angekündigten Gewinn.

In der E-Mail werden die Empfänger aufgefordert, diese Person zu kontaktieren. Schickt das Opfer tatsächlich eine Mail an den Vermittler, so erhält es eine Antwort mit Anweisungen, wie der Preis abzuholen ist. Natürlich soll das Opfer seine persönlichen Daten angeben, etwa Konteninformationen.

Diese Art von Betrug ist nichts Neues. Es gab schon früher Spam in Verbindung mit der Olympiade in Peking 2008 und den Winterspielen in Turin. Doch die Gefahr bleibt bestehen, und die Kriminellen verdienen weiterhin Geld damit. Robert McArdle, Senior Threat Researcher bei Trend Micro, glaubt, die Angreifer nutzten diese Technik, weil sie ihnen immer noch gute Margen beschert. Und solange die Nutzer darauf hereinfallen, wird die Bedrohung nicht verschwinden.

Trend Micro-Anwender sind über das Smart Protection Network, vor allem durch den Web Reputation Service geschützt, denn er blockt die Nachrichten ab, bevor sie den Nutzer erreichen. Der File Reputation Service wiederum entdeckt und löscht die dazu gehörende Malware.

Nutzer können sich auch selbst vor der Gefahr schützen, indem sie die E-Mails prüfen. Anzeichen für eine Bedrohung sind

  • Schlampiges, unprofessionelles Mail-Format
  • Offensichtliche Grammatikfehler
  • Unrealistisch hohe Geldpreise

Zudem sollten sich Nutzer bei Nachrichten über die Olympiade und die Wettkämpfe nur auf zuverlässige Quellen und Webseiten verlassen. Weitere Informationen zu der Bedrohung geben die Whitepapper Digital Life e-guide How Social Engineering Works und die Fragen und Antworten in Sports as Bait: Cybercriminals Play to Win.

 

Die UEFA Euro 2012 als Köder

1 Antwort

Originalartikel von Paul Pajares, Fraud Analyst

Das große Interesse an der EURO 2012 nutzen auch die Cyberkriminellen für ihre Machenschaften. Die Sicherheitsspezialisten von Trend Micro haben eine bösartige Site entdeckt, die einen Domänennamen nutzt, der die offizielle UEFA Euro 2012 Site kopiert. Die Webseiten führen zu Werbe-Tracking- und Betrugsseiten.

Bösartige Domäne hostet mehrfache Bedrohungen

Die Site {BLOCKED}uro2012.com ahmt die offizielle Site http://www.uefa.com/uefaeuro/ nach. Die Nachforschung ergab, dass diese bereits geblockte Site verschiedene Schädlinge hostet, wie etwa die FAKEAV-Variante TROJ_FAKEAV.HUU. Wird der Trojaner in einem System ausgeführt, so zeigt er vermeintliche Scan-Ergebnisse für das infizierte System und verführt damit Nutzer eventuell zum Kauf eines falschen Antivirusprogramms, das er auch aktiviert.

Die FAKEAV „Aktivierungsseite“ ist in Wirklichkeit eine Phishing-Seite, die die Opfer dazu verleitet, persönliche Informationen preiszugeben. Der Trojaner kann auch Webbrowser deaktivieren (Internet Explorer, Mozilla Firefox, and Google Chrome).

Diese Domäne hostet auch die Datei TROJ_DLOADR.BGV, die Verbindung mit drei verschiedenen URLs aufnimmt, um die ZBOT-Variante TSPY_ZBOT.JMO herunterzuladen. Bei diesen Varianten handelt es sich um notorische Informationsdiebe, die es vor allem auf die Einwahldaten für Online-Banking abgesehen haben. Weitere Details zu der Schädlingsfamilie liefert die Studie „Zeus: A Persistent Criminal Enterprise“.

Blackhat SEO schlägt ebenfalls weiter zu

Auch nutzten die Cyberkriminellen das Spiel zwischen Portugal und Tschechien am 21. Juni für die Blackhat Search Engine Optimization (BHSEO) mit Hilfe von Social Engineering-Taktiken.

Suchten Nutzer nach den Schlagwörtern “Watch Portugal vs Czech Republic Live”, so erschien die bösartige Site als eines der ersten Suchergebnisse. Klickte ein Nutzer diesen Link an, so wurde er statt auf den Live Video-Stream des Spiels auf eine Seite mit einem „Video-Angebot“ weitergeleitet. Nutzer die unwissentlich das „Angebot“ annahmen, griffen auf damit verbundene Sites zu, die den Standort und die IP-Adresse des Betroffenen verfolgen. Damit können die Betrüger Geld verdienen, denn diese Daten werden als Page Visits zur Werbung gewertet.

Ein weiterer ähnlicher Angriff nützte das kürzlich stattgefundene Spiel Italien gegen England aus. Die Site {BLOCKED} glandvsitalylivestreameuro2012online.com leitet Nutzer auf http://www.{BLOCKED}og.com/2012/06/england-vs-italy-live-stream/ weiter, eine Site, die vermeintlich einen Live Video-Stream des Spiels anbietet. Auch in diesem Fall werden Nutzer auf eine betrügerische Seite geleitet, die dann ihrerseits zu Werbe-Tracking-Sites führt.

UEFA 2012 Web Extension, Facebook Clickjacking

Die Sicherheitsforscher fanden auch eine gefälschte Google Chrome-Erweiterung, die auf Chrome Web Store gehostet wird. Die Analyse ergab, dass Nutzer, die besagte Erweiterung ihrem Browser hinzufügen und aktivieren, auf die bösartige Site http://www.{BLOCKED}linetv.biz/livesports.php weitergeleitet werden und dann zu Werbe-Tracking-Sites.

Natürlich werden auch Facebook-Nutzer von dieser Bedrohung nicht verschont. Es gibt verschiedene Pinnwand-Einträge, die angeblich zu einer Seite mit Video-Streaming der Spiele führen. Fällt ein Nutzer darauf herein, so ist das Ergebnis dasselbe wie bei den anderen Taktiken.

Euro 2012 Spam

Rik Ferguson, Director Security Research & Communication EMEA, entdeckte Spam-Nachrichten, die Spielergebnisse auf die in der Abbildung dargestellte Weise missbrauchten:

Nutzer, welche eine solche E-Mail erhalten, sollten auf keinen Fall den Link darin anklicken, denn er führt zu einer kanadischen Site, die gefälschte Medikamente anbietet.

Die betrügerischen Techniken im Zusammenhang mit beliebten Sportereignissen sind sehr weit verbreitet. Daher sollten Nutzer nur zuverlässige Websites im Zusammenhang mit der EURO 2012 aufsuchen und diese dann mit einem Lesezeichen versehen. Weitere Details zu dieser Art von Gefahr bieten die FAQs unter Sports as Bait: Cybercriminals Play to Win.

Trend Micro-Anwender sind vor diesen Bedrohungen über das Smart Protection Network geschützt, denn die Sicherheitsinfrastruktur blockiert die bösartigen URLs und entdeckt die damit in Zusammenhang stehende Malware. Auch Spam-Nachrichten werden geblockt.

Neue Angriffsmethoden auf Bankkonten: Automatic Transfer Systems

Hinterlassen Sie eine Antwort

Originalartikel von Loucif Kharouni, Senior Threat Researcher

Banken und andere Finanzinstitute haben ihre Sicherheitsvorkehrungen verschärft, um die Risiken durch Phishing-Angriffe zu reduzieren. Doch blieben auch die Cyberkriminellen nicht untätig und haben neue Tools erstellt, um ihre Angriffe auf das Online-Banking zu automatisieren – so genannte Automatic Transfer Systems (ATS).

Schädlingsfamilien wie ZeuS und SpyEye nutzten in der Vergangenheit Webinject-Dateien, um die Websites der Finanzorganisationen zu modifizieren. Eine Webinject-Datei ist im Grunde genommen eine Textdatei mit JavaScript und HTML-Code, die bestimmte Code-Teile in die ausgesuchten Websites einfügen.

Mit ATS jedoch, haben die Angreifer ihre Methoden noch verbessert. Anstatt „nur“ passiv Informationen abzugreifen, können die Kriminellen nun finanzielle Transaktionen ausführen, um die Bankkonten von Kunden ohne deren Wissen zu plündern. Dabei bedarf es keiner Nutzeraktion mehr, um die Benutzernamen und Kennwörter einzutippen. Über ein ATS, das die Authentifizierungsverfahren umgeht, übertragen die Kriminellen automatisch Beträge aus den Konten der Opfer in ihre eigenen, und das ohne Spuren zu hinterlassen.

Die Sicherheitsexperten von Trend Micro haben ein Forschungspapier zu ATS erstellt, das die Schlüsselaspekte eines solchen Angriffs aufzeigt sowie Informationen zu dem kriminellen Untergrund, der in die Produktion und den Verkauf von ATS involviert ist, liefert. Das Papier „Automating Online Banking Fraud” kann herunter geladen werden.

Trend Micro schützt vor aktiven Exploits der jüngsten Sicherheitslücken im Internet Explorer

Hinterlassen Sie eine Antwort

Originalartikel von Pavithra Hanchagaiah (Senior Security Researcher)

Neben dem regulären monatlichen Patch-Release, das Microsoft gestern veröffentlichte und eine relativ große Anzahl an Sicherheitslücken im Internet Explorer (IE) schließt (MS12-037), berichtete Microsoft über eine weitere IE-Sicherheitslücke, zu der es allerdings noch keinen Patch gibt. Das MS Security Advisory (2719165) identifizierte die Microsoft XML (MSXML) Core Services als die verwundbare Stelle. MSXML bietet eine Reihe von W3C-konformen XML APIs, die es Anwendern ermöglichen, Jscript, VBScript und Microsoft-Entwicklungswerkzeuge zur Erstellung von Anwendungen auf Basis des XML 1.0-Standards zu nutzen.

Die Sicherheitslücke in den Microsoft XML Core Services ermöglicht das Ausführen von Code durch Dritte über den Zugriff auf ein nicht initialisiertes COM-Objekt im Arbeitsspeicher. Wenn die Lücke erfolgreich ausgenutzt wird, könnte ein Angreifer beliebigen Code im Rahmen der jeweiligen Berechtigungen des angemeldeten Users ausführen.

Wie bereits erwähnt, stellen die MSXML Core Services auch ein Set an APIs für den Zugriff auf bestimmte COM-Objekte bereits, um Document Object Model-Aufgaben wie die Verwaltung von Namensräumen zu vereinfachen. Ein Angreifer kann dadurch Websites so präparieren, dass sie eine bösartige Webseite beherbergen, die besagte MSXML APIs aufruft. Dies wiederum führt zum Zugriff auf ein COM-Objekt im Arbeitsspeicher, das nicht gestartet wurde. Die Sicherheitslücke wird ausgenutzt, wenn ein Anwender diese präparierten Webseiten mit dem Internet Explorer öffnet. Anwender stoßen auf diese Seiten möglicherweise über anklickbare Links in einer speziell präparierten E-Mail-Nachricht oder Instant Message.

Trend Micro Deep Security-Kunden sollten die Regel 1005061 – Microsoft XML Core Services Remote Code Execution Vulnerability (CVE-2012-1889) anwenden, um den Zugriff auf Websites zu blocken, die solche bösartigen Webseiten beherbergen. Denn diese rufen in Frage kommende MSXML COM-Objekte auf, die ihrerseits auf angreifbare JavaScript-Methoden zugreifen. Darüber hinaus bietet Trend Micro Deep Security Schutz vor den Sicherheitslücken in MS12-037; die entsprechenden Informationen finden sich auf dieser Seite in der Threat Encyclopedia von Trend Micro. Sämtliche Regeln sind ebenfalls über das Intrusion Defense Firewall-Plugin in OfficeScan verfügbar.

Trend Micro prüft zurzeit Berichte über Angriffe, in denen die genannten Sicherheitslücken angeblich ausgenutzt werden. Der vorliegende Blogeintrag wird entsprechend dem Fortgang der Untersuchungen aktualisiert.

Update vom 14. Juni

Der Schädling JS_LOADER.HVN nutzt die Sicherheitslücke CVE-2012-1875 aus, die im MS12-037-Bulletin beschrieben ist und für das ein entsprechendes Patch vorliegt. Bei dem Schädling handelt es sich um ein bösartiges Script, das weitere Schadsoftware auf die befallenen Systeme herunterlädt. Trend Micro-Anwender sind vor diesem Schädling geschützt.

Library in bestimmten Android-Apps verbindet sich mit C&C-Servern

Hinterlassen Sie eine Antwort

Originalartikel von Weichao Sun (Mobile Threat Analyst)

Trend Micro hat Android-Apps mit einer bösartigen Library entdeckt (die als ANDROIDOS_BOTPANDA.A erkannt werden). Wenn die Library ausgeführt wird, mutiert das infizierte Gerät zum Zombie, das sich mit bestimmten Befehls- und Kontrollservern verbindet. Auffällig ist an dieser Datei insbesondere, dass sie ihre Routinen in der dynamischen Library versteckt, was die Analyse erschwert.

Die in ADNROIDOS_BOTPANDA.A enthaltene bösartige Library libvadgo wurde mittels NDK entwickelt und über die Schnittstelle Java Native Interface geladen. Bei NDK handelt es sich um ein Toolset für Android-Amateurentwickler, die damit Apps erstellen. ANDROID_BOTPANDA.A enthält die Datei com.airpuh.ad/UpdateCheck, welche die libvadgo-Library lädt und die Java_com_airpuh_ad_UpdateCheck_DataInit-Funktion über den folgenden Code aufruft:

Screenshot des Codes

Screenshot des Codes

Die Trend Micro-Analyse hat ergeben, dass eine der auffälligen Routinen von Java_com_airpuh_ad_UpdateCheck_DataInit verifiziert, ob ein Gerät mit Root-Rechten ausgestattet ist. Hierfür überprüft die Routine die Datei /system/xbin/su. Falls ja, führt die Datei /system/xbin/su aus und anschließend die im Folgenden aufgeführten Befehle in system/xbin/su:

In /system/xbin/su ausgeführte Befehle

In /system/xbin/su ausgeführte Befehle

Ferner führt Java_com_airpuh_ad_UpdateCheck_DataInit die Datei .e[int_a]d aus, die nach einigen Minuten entfernt wird. Im ersten Schritt prüft die .e[int_a]d-Datei, ob /system/lib/libd1.so existiert. Daraufhin tauscht sie Dateien aus und hängt einige wichtige Systembefehle [rm move mount ifconfig chown ] unter system/xbins/by ein, indem sie entsprechende Dateien unter system/bin/ erstellt. Damit verfolgt sie das Ziel, Entdeckung und Beseitigung des Schädlings zu verhindern. Sämtliche erstellten Dateien sind Duplikate von system/lib/lib1.so. Zudem modifiziert die .e[int_a]d-Datei system/bin/svc, indem sie eine bösartige Code-Zeile hinzufügt, so dass der Schadcode automatisch gestartet werden kann.

Außerdem führt die .e[int_a]d-Datei die Hauptroutine des Schädlings aus, nämlich die Kommunikation mit den Befehls- und Kontrollservern ad.{BLOCKED}ew.com ad.{BLOCKED}o8.com und ad.{BLOCKED}8.com über den Port 8511. Diese Server waren jedoch zum Zeitpunkt der Trend Micro-Analyse bereits stillgelegt, so dass die auf dem infizierten Gerät ausgeführten Befehle nicht exakt bestätigt werden können.

Wie bereits erwähnt, besteht das Außergewöhnliche von ANDROIDOS_BOTPANDA.A darin, die dynamische Library libvadgo.so zu missbrauchen. Die Schadsoftware versteckt darin ihre bösartigen Routinen, so dass die Analyse erschwert wird. Außerdem beendet sie bestimmte Prozesse, hängt wichtige Systembefehle ein und tauscht Dateien aus. Das macht die Entdeckung und Beseitigung des Schädlings zu einer schwierigen Aufgabe. Falls weitere Android-Schadsoftware in der Zukunft von dieser Technik Gebrauch macht, stehen Sicherheitsexperten vor einer Herausforderung, was die Analyse und Entwicklung von Lösungen betrifft.

Der Schädling läuft ausschließlich auf Geräten mit Root-Rechten. Deshalb ist es wahrscheinlich, dass er sich über App-Stores von Drittanbietern verbreitet. ANDROIDOS_BOTPANDA.A ist ein Grund mehr für Anwender, beim Herunterladen von Apps Vorsicht walten zu lassen, besonders bei solchen aus App-Stores von Drittanbietern. Tipps, wie Anwender sich besser vor Bedrohungen speziell für Android schützen können, hat Trend Micro in den folgenden beiden Ratgebern für das digitale Leben zusammengestellt:

Nachtrag vom 12. Juni

Trend Micro schützt Anwender vor dieser Bedrohung mit seiner Mobile Security Personal Edition, welche die Apps mit der bösartigen Library entdeckt.

Um festzustellen, ob ein Gerät infiziert ist, sollten Anwender einen Blick auf die App-Dateien werfen. Insbesondere sollten sie im Ordner system/lib nach der Datei libdl.so suchen. Außerdem sollten sie im Ordner /system/bin die svc-Datei dahingehend überprüfen, ob diese die Programmzeile /system/bin/ifconfig enthält.