Bösartige Twitter-Einträge werden immer persönlicher

Original Artikel von JM Hipolito (Technical Communications, Trend Micro)

Rik Ferguson berichtete vor Kurzem, dass bösartige Twitter-Einträge immer individueller werden – und das in einem gefährlichen Ausmaß. Die Wahrscheinlichkeit, dass Benutzer Opfer von bösartigen Angriffen werden, steigt also weiter an.

Angeblich wurde bei diesem jüngsten Angriff ein Twitter-Spam-Bot verwendet. Der Spam-Bot erstellt Twitter-Konten, die wie rechtmäßige Konten aussehen. Dazu veröffentlicht er harmlos wirkende Beiträge, die über bestimmte Freigabe-Musiktitel oder besuchte Websites informieren. Von den Spam-Bot-Konten werden dann Tweets an unbekannte Benutzer gesendet mit einem Link zu einem angeblich zufällig entdeckten und verwendeten Systemwiederherstellungstool.

Laut Rik Ferguson ist das Senden von Tweets an bestimmte Benutzer eine bemerkenswerte Social-Engineering-Technik des Spam-Bots, die den Administratoren von Twitter offensichtlich nicht verdächtig erschien. Denn die Spam-Bot-Konten wurden vermutlich vor der kürzlich auf Twitter durchgeführten Spam-Säuberung erstellt.

Der Spam-Bot nutzt zusätzlich den URL-Kürzer Doiop.com. Damit versteckt der Spam-Bot den originalen Link in den Blog-Beiträgen – allerdings nicht ohne Hintergedanken. Der Link führt zu einem weiteren Link, der wiederum mehrere Weiterleitungen auslöst, und letztendlich dazu führt, dass die Datei RegistryEasy.exe heruntergeladen wird. Die Datei wurde als TROJ_FAKEAV.DAP identifiziert. TROJ_FAKEAV.DAP gibt sich als eine Anwendung zum Beheben von Registrierungsproblemen aus. Die Masche von FAKEAV ist, lediglich gefälschte Ergebnisse anzuzeigen, um die Benutzer zum Kauf der Software zu bewegen.

Klicken
Klicken
Klicken

Interessant ist auch, dass in der Stammebene eines der Links, zu dem der Benutzer umgeleitet wird, eine Werbung für eine Anwendung namens Bot Lite angezeigt wird. Bot Lite ist, wie in dem Beitrag beschrieben, ein kleiner Twitter-Bot, den so gut wie jeder nutzen kann.

Klicken

Rik hat bestätigt, dass Bot Lite als Spam-Bot in Twitter fungiert. Der Dateiname lautet bot_lite_100.exe, und der Erkennungsname ist HKTL_FAKEBOT. HTKL_ ist das Erkennungspräfix, das Trend Micro für Hacker-Tools verwendet, die als Grayware eingestuft werden. Als Grayware werden Anwendungen mit lästigen, unerwünschten oder nicht bekannten Merkmalen klassifiziert, die aber in keine der Kategorien für kritische Bedrohungen (d. h. Viren oder Trojaner) fallen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*