Archiv für den Monat: August 2012

Java mit Hintertür

Hinterlassen Sie eine Antwort

Originalartikel von Manuel Gatbunton, Threat Response Engineer

Eine bis dato ungepatchte Zero-Day-Schwachstelle (CVE-2012-4681) in JRE 1.7/Java 7 wird von einer schädlichen .JAR-Datei ausgenützt. Bei Erfolg wird ein Backdoor-Schädling heruntergeladen, der das Ausführen von Befehlen auf dem System aus der Ferne ermöglicht.

Der Exploit läuft auf allen Versionen des Internet Explorers, Firefox, Chrome, Safari und Opera. Das ergaben Tests von Metasploit. Ziel der Angriffe sind Windows-Umgebungen, doch kann er mit einigen Modifikationen auch Macs und Linux-Systeme angreifen. Allerdings wurden auf letzteren Systemen bislang keine Exploit entdeckt. Der Schädling breitet sich über Spam-Mails aus. Die E-Mail enthält einen Link zu einem File Sharing-Tool, doch in Wahrheit zeigt er auf den Exploit.

Technische Analyse

Die Sicherheitslücke bezieht sich auf den neuen Java 7 classcom.sun.beans.finder.ClassFinder, der es der sun.awt.SunToolkit Klasse erlaubt, den Schadcode zu laden, zu modifizieren und auszuführen. Die Bedrohung besteht aus einer HTML-Seite mit schädlichem  JavaScript (index.html ist JS_FIEROPS.A), einem Java Applet (applet.java ist JAVA_GONDY.A), und dem bösartigen Binary (FLASH_UPDATE.exe ist BKDR_POISON.BLW).

Nutzer werden auf Seiten umgeleitet, wie etwa http://www.{BLOCKED}s.com/public/meeting/index.html, wo das schädliche Java Applet (JAVA_GONDY.A) heruntergeladen wird. Das Applet gibt einige Parameter weiter, die zum Download von BKDR_POISON.BLW führen. Technische Einzelheiten zum Ablauf des Angriffs sind hier zu finden.

Die Analyse ergab, dass der Hintertür-Schädling BKDR_POISON.BLW weitere Malware herunterlädt und auf dem betroffenen System ausführt. Die Malware kann Screenshots, Webcam- und Audio-Aufnahmen vom infizierten System abfangen.

Einigen Berichten zufolge könnte dieser Zero-Day-Exploit in gezielten Angriffen verwendet werden, doch die Sicherheitsforscher von Trend Micro bezweifeln dies. Die Sites, die den Exploit hosten, sind als Verbreiter verschiedener Malware bekannt. Der Server, zu dem BKDR_POISON.BLW Verbindung aufnimmt, ist ebenfalls als C & C-Malware Server berüchtigt. Gezielte Angriffe hingegen versuchen sich zu verstecken.

Anwender von Trend Micro-Lösungen sind durch das Smart Protection Network vor der Gefahr geschützt, denn die Sicherheitsinfrastruktur entdeckt und löscht den Exploit sowie die Schädlingskomponenten. Auch blockt sie den Zugriff auf die kompromittierten Sites, wo die Infektion startet. Anwender von Deep Security sind über die Anwendung der Rule 1005170 – Java Applet Remote Code Execution Vulnerability vor der Gefahr sicher. Zusätzlich fängt Deep Discovery die Netzwerkaktivitäten von BKDR_POISON.BLW ab.

Rik Ferguson, Director Security Research & Communications EMEA, empfiehlt den Nutzern, sicherheitshalber Java in den Webbrowsern zu deaktivieren:

  • Java im Internet Explorer: Im Tools-Menü wird Manage Add-Ons ausgewählt und dort Java™ Plug-in SSV Helper und Java 2™  Plug-in 2 SSV Helper deaktiviert.
  • Firefox (MacOS & Windows): Im Tools-Menü wird Add-Ons gewählt und Java Deployment Toolkit, Java™ Platform and/or Java Applet Plug-in deaktiviert.
  •  Java in Google Chrome: Oben rechts im Chrome-Browser wird der Wrench-Icon und Settings gewählt, dann Show advanced settings. Hier im Privacy-Bereich wird Content Settings gewählt, Plug-ins und Disable individual plug-ins. Hier kann Java deaktiviert werden.
  •  Java in Safari for MacOS: Im Preferences-Dialog wählt man Security und entfernt den Haken bei der Box Enable Java.

Update vom 31. August

Inzwischen hat Oracle ein außerplanmäßiges Update herausgebracht. Weitere Informationen hierzu sowie zu den von Nart Villeneuve, Senior Threat Researcher bei Trend Micro, erforschten Hintergründen der Java-Lücke finden sich hier.

Adware tarnt sich als Android App

1 Antwort

Originalartikel von Bruce An, Mobile Threat Analyst

Beim Monitoring von drei beliebten Android App Stores – Google Play, Nduo und GFan – entdeckten die Sicherheitsforscher von Trend Micro eine Reihe von Adware-Programmen, die nach ihrer Installation lästige Werbung zeigen.

Das Diagramm zeigt die in der Woche vom 12. – 18. August immer noch verfügbaren Adware-Programme. GFan enthielt die meisten als Adware identifizierten Apps, möglicherweise dank seiner Popularität im chinesischen Markt. Diese Apps zeigen mehrere Werbungen auf dem infizierten Gerät an, um eine höhere Anzahl an Benutzern zu erreichen und somit mehr Profit zu generieren.
Die Analysen ergaben auch, dass die meisten Programme auf diesen Websites Varianten von ANDROIDOS_ADWIZP, ANDROIDOS_AIRPUSH, ANDROIDOS_ADSWO, ANDROIDOS_LEADBOLT sowie ANDROIDOS_TOUCHNET darstellten. Alle, außerTOUCHNET, waren bereits bekannt und identifizert.


TOUCHNET zeigt nicht nur Werbung sondern fügt sie auch in Benachrichtigungen ein. Auch zeigt das Programm nicht, welche App die Werbung bringt. Damit sollen die Nutzer daran gehindert werden, die betroffene App zu löschen.

Trend Micro schützt Android-Nutzer über Trend Micro Mobile Security Personal Edition vor dieser Gefahr. Die Lösung kann die als App getarnte Malware aufspüren. Wer mehr darüber wissen will, wie Android-Geräte vor Infektionen geschützt werden können, findet die Informationen in diesen Papers:

„Crisis“ für virtuelle Maschinen

Hinterlassen Sie eine Antwort

Originalartikel von Christopher Daniel So, Threat Response Engineer  und Warren Wu, Director, Product Group Management Datacenter Business Unit

Die Sicherheitsspezialisten von Trend Micro sind auf Angriffe des Schädlings Crisis/MORCUT auf virtuelle Maschinen in VMware-Umgebungen gestoßen. Ende Juli war der Backdoor-Schädling schon einmal aktiv gewesen, doch da hatte er sich Mac OSX-Systeme als Ziel ausgewählt. Dieses Mal jedoch fanden die Experten Crisis/MORCUT in mobilen Windows-Umgebungen und interessanterweise auf virtuellen Festplatten.

Der Schädling infiziert so genannte Type 2 Hypervisor-Umgebungen. Hierbei wird der Hypervisor über ein Standard-Betriebssystem (Windows/Linux) installiert und hostet mehrere virtuelle Maschinen. Die Malware kompromittiert zuerst das Host-Betriebssystem, sucht nach VMDK-Dateien und instanziiert dann wahrscheinlich die VM, die er mit derselben Infektion wie den Host kompromittiert.

Wie der Schädling in die Systeme kommt, ist noch nicht ganz geklärt. Den Anfang scheint jedoch ein Download eines schädlichen Java-Applets (JAVA_AGENT.NTW) gemacht zu haben. Das Applet ist mit zwei Dateien verbunden: mac – der Hintertür-Schädling OSX_MORCUT.A und win – ein Wurm WORM_MORCUT.A. Die win-Datei wird in einem Windows-Betriebssystem ausgeführt und legt dann einige Komponenten ab (Einzelheiten gibt es hier).

Eine erste Analyse ergab, dass WORM_MORCUT.A sich über USB-Geräte und VMware virtuelle Festplatten verbreiten kann. Der Wurm nutzt die Komponente TROJ_MORCUT.A des Gerätetreibers, um sich auf virtuellen Festplatten einzuhängen. Diese Fähigkeit lässt den Schluss zu, der Schädling verbreite sich aggressiv, doch es gibt derzeit nicht ganz 100 Infektionen mit WORM_MORCUT.A und TROJ_MORCUT.A.

Eine Infektion für Type 2 Hypervisor-Szenarien kann über aktuelle Antimalware-Lösungen wie Trend Micro Deep Security oder Trend Micro OfficeScan verhindert werden. Damit sind die virtuellen Maschinen sicher. Des weiteren sollte der Zugang zu VMDK eingeschränkt werden. Zwar richten sich die Angriffe von Crisis nur auf gehostete Hypervisor nicht auf das Datacenter, dennoch ist eine solche Maßnahme grundsätzlich wichtig. Jeder, der auf die VMDK-Dateien in einem Dateisystem zugreifen kann, hat die Möglichkeit, viel Schaden auf den virtuellen Festplatten und VMs anzurichten.

Malvertising für das iPhone

2 Antworten

Originalartikel von Rik Ferguson, Director Security Research & Communications EMEA

Betrüger versuchen schon wieder, die Gutgläubigkeit der Nutzer auf Facebook zu versilbern. Diesmal haben sie iPhone-Besitzer im Visier, in deren Facebook-Konto ein „Freund“ ein besonders witziges Bild mit dem User teilen will. Klickt der Ahnungslose auf das Bild, wird er auf eine Webseite umgeleitet und dort darüber informiert, dass er an einer Apple-Verlosung teilnehmen kann. Da nur ein OK-Button verfügbar ist, ist er gezwungen, fortzufahren. Nach der Auswahl des gewünschten Preises (Kindle Touch, iPhone 4S oder iPad 2) soll er dann an einem Quiz teilnehmen. Das dies kostenpflichtig ist, erfährt der User allerdings nur, wenn er ganz unten auf der Seite das Kleingedruckte liest. Einzelheiten zum Ablauf können Interessierte im Original-Blog nachlesen.

Die Aktion zeigt, dass die Kriminellen – wie von Trend Micro vorhergesagt – legitime Dienste missbrauchen, um Geld zu verdienen. Auch ist sie ein erneuter Beweis dafür, dass Cyberkriminelle ihre Geschäfte auch ohne Malware und infizierte Geräte durchführen können und dies auch skrupellos tun. Nutzer sind gut beraten, größte Vorsicht walten zu lassen, bevor sie ein Bild oder verdächtige Nachrichten anklicken.

Betrug im Mäntelchen der WhatsApp für Facebook

Hinterlassen Sie eine Antwort

Originalartikel von Paul Pajares, Fraud Analyst

Betrüger nutzen derzeit Facebook und die mobile Nachrichten-App WhatsApp für ihre Machenschaften. Verbreitungswege sind Benachrichtigungs-Anfragen oder „Gefällt mir“-Kontakte.

Fällt ein Benutzer auf diese typischen Köder herein, so wird er auf eine gefälschte WhatsApp Facebook-Seite umgeleitet, die die Einwilligung des Nutzer fordert. Gewährt der Nutzer diese, so werden andere Facebook-Nutzer, üblicherweise die Kontakte des Opfers angezeigt, die angeblich die WhatsApp auch verwenden.

Interessanterweise werden die Nutzer für ihre Zustimmung auf eine Seite geleitet, die verschiedene Icons für unterschiedliche mobile Betriebssysteme enthält – so wirkt sie vertrauenswürdiger.

Stimmt der Nutzer besagter App zu, so wird er nochmals auf andere Seiten weiter geleitet, und zwar je nach Standort des Users. Die Nutzer aus Ländern wie die Vereinigten Staaten, Australien, Neuseeland, Deutschland oder Großbritannien landen auf einer gefälschten Starbucks-Seite mit Werbegeschenken.

 

Es hat schon in der Vergangenheit gefälschte Android-Apps gegeben, die sich als beliebte Apps tarnten, so etwa Instagram, Farm Frenzy oder Angry Birds Space. Doch dieser neue Betrug lässt darauf schließen, dass es bald Links zu falschen Android-Apps geben wird, die sich über Facebook verbreiten.

Trend Micro schützt die Anwender mithilfe des Smart Protection Networks vor dieser Gefahr, denn die Sicherheitsinfrastruktur verhindert den Zugang zu den betrügerischen Seiten. Facebook ist mit den 900 Millionen Anwendern natürlich ein sehr lohnendes Ziel für derartige Angriffe. Wer sich besser schützen will, sollte auch die FAQs Survey Scams Aimed at Social Networking Netizens lesen.