Adware wird zum Risiko: die Installbrain/Sefnit-Verbindung

Von Trend Micro


Bild 1. Slogan auf der InstallBrain-Website (http://www.installbrain.com) vom 3. Juli 2014”

“Monetize On Non-buyers” lautet das dreiste Motto von InstallBrain, einer Adware, die von einer israelischen Firma namens iBario Ltd. entwickelt worden ist. Dieser Slogan fasst die möglichen Risiken zusammen, die Adware für Nutzer darstellen kann, vor allem wenn sie auf deren Systemen ohne vorherige Einwilligung des Benuttzers Programme installiert.
Adware wird häufig als wenig risikoreich wahrgenommen, weil sie üblicherweise nicht erwünschte Popups und Werbung auf das Display bringt. Doch kann Adware eine ernsthafte Gefahr darstellen, wenn die Autoren sie dazu nutzen, um Schadsoftware auf die Systeme zu laden. Einzelheiten dazu, wie iBarios InstallBrain im letzten Jahr die Trojaner MEVADE/SEFNIT auf zahlreiche Systeme installiert hat, gibt es im Whitepaper „On the Actors Behind MEVADE/SEFNIT“.

Im August 2013 stellten die Sicherheitsforscher einen plötzlichen dramatischen Anstieg an TOR-Nutzern (von einer Million auf fünf Millionen) fest. Fox-IT erkannte die Ursache zuerst: Die MEVADE/SEFNIT-Schadsoftware hatte eine TOR-Komponente für die Kommunikation mit ihrem Command-&-Control-Server heruntergeladen. Diese Malware führt Click-Betrug sowie Bitcoin-Mining aus.

Microsoft erkannte die InstallBrain-Verbindung mit SEFNIT zuerst. iBario löschte daraufhin den Markennamen InstallBrain von der eigenen Website und ersetzte ihn durch Unknownfile. Die Daten aus dem Smart Protection Network zeigen, dass InstallBrain in etwa 150 Ländern entdeckt wurde.

Adware-Firma hostet Malware

iBario ist nach eigenen Aussagen eine etwa 100 Millionen Dollar schwere Firma in Israel. Dieser Wert ist wahrscheinlich übertrieben, und es besteht Grund zur Annahme, dass das Unternehmen eine Menge technischer Aufgaben in die Ukraine auslagert. Trend Micros Sicherheitsforscher fanden ein Organigramm von iBario Ukraine, mit dem CTO von InstallBrain als Kopf.


Bild 2. Organigramm von iBario Ukraine (Screenshot vom 20. Juni 2014)

Bemerkenswert ist, dass Mevade.C in mehr als 68 Ländern sehr verbreitet ist, sogar in solchen mit einer geringen Einwohnerzahl, doch keine Infektionen in Israel vorkommen – wahrscheinlich, um Ärger mit den lokalen Polizeibehörden zu vermeiden.

Auch fanden die Sicherheitsforscher, dass einer der Domänennamen eines ukrainischen Vertragspartners namens Denis R., auch als Scorpion bekannt, einen Hostnamen enthielt, der auf die IP-Adresse von iBarios Quellcode-Repository zeigte. Dieses Repository enthielt 2011 Sefnit-Schadsoftware. Einzelheiten dazu werden nicht veröffentlicht, doch werden sie der Polizei zugänglich gemacht.

Gateway zur Infektion

Täuschung oder jeder Hinweis darauf, dass ein Nutzer kein Einverständnis zum Download und der Installation einer Datei gegeben hat, reicht aus, um eine Datei als Schadsoftware zu identifizieren und zu blockieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.