In dieser Woche hat ein Entwickler, bekannt unter dem Namen “Comex”, einen so genannten Jailbreak für Apples iPhone 4 veröffentlicht. Man spricht von Jailbreaking, wenn Nutzer das Betriebssystem ihres iPads, iPhones oder des iPod Touch Geräts modifizieren, um Anwendungen ablaufen zu lassen, ohne über Apples App Store zu gehen. Nutzer können nun über eine spezielle Website ihre Geräte viel einfacher manipulieren, als es bisher möglich war. Außerdem funktioniert jetzt Jailbreaking nicht nur mit dem iPhone 4, sondern auch bei älteren Produkten, in denen iOS läuft.

Bekannte Apple-Sicherheitsforscher wie Charlie Miller zeigten sich von der Qualität de Jailbreak beeindruckt. Der Jailbreak nutzt zwei unterschiedliche Sicherheitslücken aus. Die eine liegt in der Art und Weise, wie der Safari-Browser mit pdf-Dateien umgeht. Diese Dateien können speziell aufgesetzte Fonts enthalten, die eine willkürliche Ausführung von Code ermöglichen. Diese Lücke scheint in Zusammenhang mit einer ähnlichen in Mac OS X zu stehen, die im März geschlossen wurde. Eine zweite Lücke wird genutzt, um höhere Privilegien auf dem Gerät zu erlangen, doch Details dazu sind öffentlich nicht verfügbar. Dieselben Techniken für Jailbreaking können auch von böswilligen Nutzern angewendet werden, um Malware auf iOS-Geräte zu schieben. Trend Micro hat die für Angriffe genutzten pdf-Dateien als TROJ_PIDIEF.HLA erkannt. Obwohl bislang noch keine bösartige Payload mit dieser Datei in Verbindung steht, lässt sie sich doch für böswillige Aktivitäten nutzen. Apple hat auch noch nicht offiziell dazu Stellung genommen.

Anwender können Trend Micros Smart Surfing for iPhone nutzen, um sich gegen bösartige Websites, einschließlich derer gegen iOS-Geräte gerichteten, zu schützen. Die Site mit dem Jailbreaking Code beispielsweise wird derzeit folgendermaßen geblockt:

Die TrendLabs-Forscher Alvin Bacani und Jayson Pryde analysierten kürzlich eine neue Spyware OSX_OPINIONSPY.A, die Intego zufolge zusammen mit Bildschirmschonern für Sites ausgeliefert wird, die kostenlose Anwendungen und Software-Updates wie MacUpdate, Softpedia und VersionTracker hosten.

Die Bildschirmschoner sind zwar nicht bösartig, doch laden sie Spyware herunter, die E-Mail-Adressen, iChat-Nachrichten-Header und URLs stahl sowie weitere persönliche Daten wie Benutzernamen, Kennwörter, Kreditkartennummern und Bookmarks und Histories der Webbrowser.

Sobald die Spyware installiert ist, nimmt sie Verbindung zu einer bestimmten Site auf und sendet die Daten (bspw. Kampagnen-ID, Betriebssystemversion und Typus), die sie von den betroffenen Systemen eingesammelt hat.

Interessanter noch ist die Monitoring-Routine von OSX_OPINIONSPY.A. Sie verbindet sich mit einer URL, um eine upgegradete Kopie ihrer selbst herunterzuladen – eine weitere Spyware, die Instant-Messaging-Anwendungen ausschnüffelt, etwa AIM, GoogleTalk, MSN Messenger und Yahoo! Messenger sowie Real-Time-Messaging-Protocol (RMTP)-Datenpakete. Somit können die Cyberkriminellen Benutzernamen und Kennwörter sowohl von IM- als auch von RTMP-Streams abgreifen. Diese gestohlenen Pakete können auch Informationen umfassen, die während Konversationen verschickt wurden.

Die Analyse ergab, dass die Spyware nicht nur Macs im Visier hat, sondern auch Windows-Systeme (diese Version ist als SPYW_RELEKNOW identifiziert worden). Die Gefahr könnte auch in Form einer weiteren Anwendung kommen und nicht nur als Bildschirmschoner. Der Senior Advanced Threats Researcher Ivan Macalintal beschreibt den bei diesem Angriff verwendeten Code als „sehr persistent und heimtückisch“, denn eine Infektion durch die Spyware kann unbemerkt bleiben.

TrendLabs hat wiederholt darüber berichtet, wenn Mac-Malware in derselben Art verbreitet wurde: So etwa über Mac-Malware tarnt sich als iPhoto Installer oder DNS-abändernder Mac-OS-X-Trojaner “in-the-wild”.

Unabhängig vom Betriebssystem sind Anwender von Trend Micro-Produkten über das Smart Protection Network vor diesen Gefahren geschützt, denn der Web Reputation Service verhindert den Zugriff auf Sites, die bösartige Dateien hosten. Auch erkennt der File Reputation Service die bösartigen Dateien als Schädlinge.

Die Schwachstellen in Internet Explorer (IE) sind aufgrund der Beliebtheit des Browsers immer gut dokumentiert worden. Seitdem nun weitere Browser wie Apple Safari und Opera immer mehr genutzt werden, häuft sich Aufdeckung von Schwachstellen auch in diesen Programmen.

Rajiv Motwani, Sicherheitsforscher bei Trend Micro, berichtet über eine Reihe von Exploits für alle Browser in der letzten Woche. Das könne daran liegen, so der Experte, dass der Exploit-Code öffentlich verfügbar ist, und es somit für die Nutzer schwieriger ist, sich vor diesen Gefahren zu schützen, sind doch die Patches nicht immer vorhanden. „Auch lässt sich derselbe Code manchmal dazu verwenden, mehrere Browser anzugreifen“, fügt Motwani hinzu.

Es gibt eine Schwachstelle in Apple Safari, Version 4.0.5 für Windows, die es zulässt, dass ein Fensterobjekt gelöscht wird, auch wenn noch Referenzen vorhanden sind. Damit wird jedes Mal, wenn ein speziell erstellter Java Script Code versucht, das gelöschte Objekt zu nutzen, ein ungültiger Zeiger erzeugt. Ein entfernter Nutzer kann somit den Zeiger mittels besagten Codes kontrollieren. Cyberkriminelle sind in der Lage, diese Lücke auszunutzen, indem sie User dazu bewegen, ein HTML-Dokument in Safari anzusehen, um dann einen Zufallscode mit den Privilegien des Nutzers, der die Anwendung ausführt, ablaufen zu lassen. Weitere Details dazu finden Sie unter Vulnerability Note VU#943165.

Eine ähnliche Bedrohung gibt es auch für Opera, wobei ein Angreifer Zufallscode mit ähnlichen Privilegien wie die eines legitimen Nutzers ausführen kann. Die Schwachstelle ermöglicht es Angreifern, Opera auf nicht initialisierten Speicher zugreifen zu lassen, und somit diesen zu korrumpieren, damit der Zufallscode auf dem System laufen kann. Opera hat bereits den erforderlichen Sicherheits-Patch dafür veröffentlicht.

Das U.S. Computer Emergency Readiness Team empfiehlt Nutzern dringend, Java Script zu deaktivieren und es zu vermeiden, auf Links zu klicken, die in Mail-Nachrichten, Instant Messages, Webforen oder Internet Chat Relay (IRC) Kanälen vorhanden sind.

Trend Micros Deep Security und OfficeScan schützt die Anwender mittels dem Plugin Intrusion Defense Firewallvor (IDF) diesen Gefahren, solange ihre Systeme mit den IDF Regeln 1004147, 1004141, and 1004126 auf aktuellem Stand gehalten werden.

Das Angebot von Werbegeschenken und sonstiger attraktiver Werbung stellen nur einige der Tricks dar, mit denen Cyberkriminelle Nutzer für ihre profitträchtigen Geschäfte einzubinden versuchen. Die Sicherheitsforscher der TrendLabs entdeckten kürzlich verdächtige E-Mails , die vorgeben, von iTunes Store zu kommen. Diese Fälschungen kündigen den Empfängern an, sie hätten einen Geschenkgutschein über 50 Dollar gewonnen, und fordern die Nutzer auf, sich den Zertifikatscode aus dem zip-Anhang zu holen. Dieser aber enthält natürlich nicht den erwarteten Code sondern Malware, die Trend Micro als TROJ_SASFIS.HN identifiziert hat.

Wird der Trojaner ausgeführt, so setzt er pgsb.lto (TROJ_DLOADR.SMVE) auf das System. Der Trojaner verbindet sich dann mit Websites, die ihn mit Anweisungen versorgen und eine weitere URL enthalten können, woher eine aktualisierte Kopie seiner selbst oder weitere Malware herunter geladen wird.

Dies ist nicht das erste Mal, dass der iTunes Store für kriminelle Geschäfte herhalten musste. Deshalb sollten Nutzer keine verdächtigen E-Mails öffnen und schon gar nicht Anhänge in solchen Nachrichten.

Trend Micro Smart Protection Network schützt die Anwender vor dieser Art des Angriffs, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service den Spam blockiert, noch bevor er in die Inbox kommt. Der File Reputation Service wiederum erkennt den Inhalt der Dateien als schädlich.

Intego, Anbieter von Sicherheitslösungen für den Mac, hat eine neue OS-X-Malware entdeckt. Dem Bericht Integos zufolge handelt es sich dabei um eine neue Variante einer früheren Mac OS-X-Malware, die zuerst 2004 gesichtet wurde. Die Cyberkriminellen nutzten verschiedene Foren, um Kopien der neuen Variante zu verteilen.

Der Schadcode kommt auf den Systemen als Paket an, das vorgibt, ein iPhoto-Installer zu sein. iPhoto ist eine Mac-Anwendung, mit der Nutzer auf einfache Weise Fotos editieren und verwalten können. Trend Micro hat die Malware als OSX_HELLRTS.A identifiziert. Sie agiert als Backdoor-Programm, mittels dessen Angreifer direkten Zugriff auf einen infizierten Mac erlangen können. User, die unwissentlich dieses bösartige Paket installieren, riskieren, ihre Systeme der Kontrolle von Cyberkriminellen zu übergeben.

Das Trend Micro Smart Protection Network schützt Mac-Anwender vor dieser Gefahr, indem es verhindert, dass das bösartige Paket auf dem System des Anwenders installiert wird. Mac-Anwender ist dringend zu raten, Trend Micro Smart Surfing for Mac zu nutzen.

Während die Browser-Hersteller auf der einen Seite um Marktanteile kämpfen, haben sie auf der anderen Seite Probleme, ihre Nutzer vor den zunehmenden Gefahren zu schützen. In einigen der populärsten Browser wurden kürzlich ernste Sicherheitslücken entdeckt. An erster Stelle stand hierbei der Internet Explorer (IE), in dem Microsoft allein im März zwei Schwachstellen schließen musste.

Auch der Firefox geriet in die Schlagzeilen mit einer eigenen Sicherheitslücke, die ernst genug war, um das BSI mit einer Warnung vor der Nutzung des Firefox auf den Plan zu rufen (Die Lücke wurde mittlerweile über ein vorgezogenes Update auf Firefox 3.6.2 von Mozilla geschlossen).

Andere Browser wie Opera und Safari hatten ebenfalls mit eigenen Fehlern zu kämpfen. Beide haben jedoch die Schwachstellen bereits gestopft. Der bekannte Sicherheitsexperte Charlie Miller warnte jedoch, er habe noch mehr Safari Zero-Day-Fehler zu veröffentlichen – schlechte Neuigkeiten, nicht nur für Apple sondern auch für Google Chrome, denn der Browser nutzt dieselbe WebKit Rendering Engine wie Safari.

Der Trend Micro Sicherheitsanalyst Rafiv Motwani erklärte: „Unabhängig von den erwähnten Lücken können wir nicht im entferntesten abschätzen, wie viele Schwachstellen derzeit ausgenützt werden. Man darf auch nicht vergessen, dass eine Vielzahl von Nutzern ihre Systeme nicht patcht.“ Er fügt hinzu, es gebe verschiedene Gründe dafür, warum Nutzer ihre Systeme nicht aktualisieren. Dazu gehöre das fehlende zentrale und automatische Update-System, ein herstellerunabhängiger Patch-Release-Zyklus und die Auffassung, dass eine traditionelle Antivirus-Software gegen alle Arten von Gefahren schützt. Schließlich mache die Verbreitung von Malware, die sich als Software-Patch ausgibt, die Dinge noch komplizierten, indem sie Zweifel und Verunsicherung bei den Nutzern aufkommen lässt.

Maßnahmen, wie die von der EU verordnete Browser-Abstimmung , die zu einer breiteren Browser-Auswahl führen soll, mag Nutzer dabei unterstützen, die Schwachpunkte in bestimmten Programmen zu erkennen. Doch Motwani betont, dass es praxisfern sei anzunehmen, dass Nutzer bei jeder neu entdeckten Schwachstellen den Browser wechseln. Unternehmensanwender müssten zusätzlich die Performance-Auswirkungen, Stabilität und Kompatibilität testen, bevor sei Patches ausrollen. Deshalb empfiehlt Motwani, statt Browser-Wechsel stets aktuelle Sicherheitsprodukte (siehe auch „Den ‚sichersten‘ Browser gibt es nicht“) einzusetzen und zu gewährleisten, dass die Definition immer auf dem neuesten Stand sind. Darüber hinaus sei es auch von entscheidender Bedeutung, Links, Dateien und herunter ladbare Daten von Social-Networking-Sites oder aus unbekannten Quellen mit Vorsicht zu behandeln. Weitere nützliche Maßnahmen sind die Deaktivierung von Scripting oder zumindest die Benutzung von Scripts zu regeln und auf vertrauenswürdige Sites zu beschränken.

Internet-Nutzer müssen sich mittlerweile damit auseinandersetzen, dass alles, was ihnen im Web begegnet auch Betrug sein kann, einschließlich angeblicher Antivirus-Software. Trend Micros „Threat Encyclopedia“ umfasst mittlerweile mehr als 2000 Einträge zu FAKEAV.

Viele naive Nutzer fallen immer noch auf den uralten Trick der Scareware-Taktik der Anbieter der gefälschten Antivirensoftware herein: Die Opfer sollen glauben, ihre Systeme seien mit Schadsoftware infiziert und sollen aus Angst vor den Folgen dieser Gefahr für etwas zahlen, was sich als vollkommen unnütz entpuppt.

Die Techniken, die die Cyberkriminellen nutzen, entwickeln sich alarmierend schnell weiter, um ihre FAKEAV-Kreationen an unwissende Nutzer zu bringen. Häufig greifen sie auf „vergiftete“ Suchergebnisse zu den gerade populärsten Themen zurück oder auf Spam-Nachrichten, die bösartige URLs oder Dateianhänge enthalten. Der Verbreitung von FAKEAVs scheinen keine Grenzen gesetzt zu sein. Die verschiedenen Varianten versuchen aus allen wichtigen Nachrichten in der Welt Profit zu schlagen – jeden Tag erscheinen Hunderte neuer gefälschter AV-Domänen.

Infizierte Nutzer werden über FAKEAV nicht nur betrogen, sie werden auch zu direkten Teilnehmern in Botnetzen und unterstützen somit die weitere Verbreitung der Schadsoftware. FAKEAVs überlassen nämlich ihre Verbreitung den Botnetzen, sodass sich die Cyberkriminellen auf die Entwicklung von immer effizienteren Einschüchterungstaktiken und Pay-per-Install-Modellen konzentrieren können. Auf diese Weise haben sie sich mit anderen Cyberkriminellengruppen zusammengeschlossen, etwa den KOOBFACE-  und BREDOLAB-Banden, und ein sehr lukratives Geschäftsmodell entwickelt.

Nutzer sollten immer im Hinterkopf behalten, dass FAKEAVs nur einem einzigen Zweck dienen, nämlich dem Profit der Cyberkriminellen auf Kosten der Nutzer. Dies ist auch der Grund, warum diese Schadprogramme immer weiter entwickelt werden und in vielfältiger Weise ausgeliefert werden – sogar in die iPhones haben sie ihren Weg gefunden.

Dennoch ist es nie zu spät, vorsichtig zu sein und lediglich vertrauenswürdige Sites für Updates zu nutzen. Auch sollte man vermeiden, auf verdächtig erscheinende URLs zu klicken sowie Dateianhänge zu öffnen oder gar herunter zu laden, vor allem wenn sie von unbekannten Absendern kommen. Schließlich können sich Nutzer mit Software schützen, die auf Reputation setzt, wie Trend Micros Smart Protection Network. Damit sind die Anwender vor FAKEAV-bezogenen Infektionen sicher, denn das intelligente Netzwerk blockiert über die Mail-Reputationstechnologie Spam-Nachrichten, hindert Nutzer mithilfe der Webreputation daran, auf bösartige Websites zuzugreifen und entdeckt über die Dateireputationstechnologie bösartige Dateien.

Viele Sicherheitsverantwortliche und IT-Administratoren sind es leid, sich ständig mit System-Patches und Sicherheits-Updates herum zu schlagen. Sie stellen Überlegungen an, ob Betriebssysteme wie Google Chrome Microsofts Dominanz im Bereich der Desktop-Betriebssysteme lockern und sie vielleicht in fünf Jahren mit einer höheren Sicherheit rechnen können. Dies ist eine schwierige Frage, denn wir sollten davon ausgehen, dass es in ein paar Jahren noch mehr zerstörerische Technologien geben wird. Daher ist wohl die beste Antwort auf obige Überlegungen zu analysieren, was derzeit passiert.

Wir befinden uns eindeutig in einem fortwährenden Cyberkrieg. Die Angreifer sind Cyberkriminelle, die mit Malware, Hacking und anderen bösartigen Aktivitäten gutes Geld verdienen. Und sie können ihre Angriffe deswegen erfolgreich durchführen, weil der Desktop fest in der Hand eines Betriebssystems ist. Ein Angreifer, der sich mit seinen Attacken auf Microsoft-Plattformen konzentriert, ist in der Lage, genügend Computer zu erreichen, um damit viel Geld zu verdienen. Dies ist ganz einfach eine Frage der Wirtschaftlichkeit. Sobald andere Betriebssysteme wie Mac OS sich weiter verbreiten und Desktop-Marktanteile gewinnen, wird dafür auch mehr Malware in Umlauf kommen – nicht weiter erstaunlich.

Doch was passiert, wenn das Betriebssystem sehr klein und quelloffen ist? Oder wenn alle Daten und Anwendungen in der Cloud gespeichert werden, wie es bei Chrome OS der Fall ist? Ist das sicherer?

Theoretisch ja. Das Betriebssystem ist kleiner (weniger Codezeilen) und hat infolgedessen weniger Schwachstellen. Aufgrund der Tatsache, dass es aber auch weniger mächtig ist, könnte lokal installierte Malware der Vergangenheit angehören. Ich glaube auch nicht, dass Open Source riskanter ist, weil die Angreifer die Schwachstellen schneller entdecken – ein häufiges Argument gegen Quelloffenheit. Sicherheit durch Verheimlichung hat noch nie funktioniert.

Einige der Angriffsszenarien könnten dennoch auch weiter erfolgreich sein:

1. Manipulieren der Verbindung zur Cloud: Dabei müssen Angreifer etwas am Betriebssystem herumpfuschen, um die DNS-Records zu ändern. Als Folge wird der Nutzer erst an eine Untergrund-Site geraten und dann auf seine Webanwendungsseite weitergeleitet. Damit sind dann alle seine Daten einzusehen, wenn der Kommunikationskanal nicht gesperrt werden kann. Klar, wir könnten uns auf IPv6, Verschlüsselung und Zertifikate verlassen, doch ist und bleibt dies ein Angriffspunkt.
2. Die Cloud selbst angreifen: Wenn Cloud-basierte Anwendungen und Cloud-getriebene Betriebssysteme zur Normalität werden, wie wichtig ist eine 99,999-prozentige Verfügbarkeit? Sie stellt den Schlüssel zum Erfolg dar, denn ohne den Zugang zu den Informationen und dem Anwendungs-Host ist der Computer wertlos. Was passiert also, wenn die Angreifer Standard-Botnetze nutzen, um die Cloud-Infrastruktur des Hosts zu überlasten? Wir werden in den nächsten zehn Jahren sicherlich von Bots infizierte Computer mit Standard-Betriebssystemen erleben. Vorstellbar ist auch, dass Angreifer eine kleine „Spende“ fordern, um sicherzustellen, das der Cloud-Host, der mit Anfragen überschüttet wurde, seine Dienste wieder aufnimmt? Ein sehr lukratives Geschäft für Kriminelle und keine Science Fiction. Dies passiert bereits im kleineren Umfang, doch wenn ein Geschäft (die Infektion von Desktops mit Malware) einbricht, so wird ein neues Geschäftsmodell dies ersetzen.
3. Diebstahl von wertvollen Informationen wie Kreditkartendaten oder Logon-Konten in der Cloud: Die Cloud-Anbieter müssen sicherstellen, dass kein nicht autorisierter Zugriff möglich ist, dass ein Hacker niemals in der Lage ist, Millionen von User-Datensätze, Login-Daten, Online-Banking-Informationen, Rechnungsdaten, Transaktionsdaten und so weiter zu kopieren. Ich bezweifle, dass das möglich ist!

Ich vermeide jede Prognose zur Verbreitung von Chrome OS oder eines anderen Betriebssystems innerhalb der nächsten fünf Jahre. Doch eines ist sicher: Die Sicherheitsindustrie wird nicht verschwinden, sondern sie muss sich neu erfinden, um die künftigen Angriffsvektoren zu anzugehen. Das bedeutet keine lokalen Antivirus-Lösungen mehr mit riesigen Signaturdateien, stattdessen Cloud-basiert Reputationsdienste für Web, E-Mail und Dateien. Trend Micro bietet mit dem Smart Protection Network heute schon einen solchen intelligenten, Cloud-basierten Schutz an. Und natürlich bedarf es der Schwachstellenüberprüfung, Abwehr und Verschlüsselung – also des gesamten, für den sicheren Austausch von digitalen Informationen erforderlichen Arsenals.

Meistens denken wir bei Halloween an Kürbisse und Kostüme, doch Cyberkriminelle haben damit anderes im Sinn, nämlich Anwender dazu zu bringen, ihnen ihre persönlichen Daten preiszugeben. Die Trend Micro TrendLabs haben die sieben schlimmsten Bedrohungen zusammengestellt, die an Halloween an die Türen klopfen könnten:

1. Maßgeschneiderter ZBOT Spam wird die Mailboxen überschwemmen. Das Zeus-Botnet ist wohlbekannt für seine E-Banking-Angriffe, die sich vor allem gegen kleine Unternehmen richten, die keine speziellen IT-Mitarbeiter haben. Der derzeit berüchtigtste ZBOT-Angriff schickte maßgeschneiderten Spam an die Angestellten mehrerer solcher kleinen Unternehmen. Die Spam-Nachrichten waren so aufgesetzt, dass sie legitim und nicht bösartig schiene, während sie doch eine Trojaner-Spyware enthielten, die darauf ausgerichtet war, Informationen und Identitäten zu stehlen.
2. Schwachstellen haben eine kritische Masse erreicht: Patch mich, wenn du kannst. Microsoft hat im Dezember 2008 mit 28 Patches für die eigenen Betriebssystemschwachstellen einen Rekord aufgestellt. Bereits im Juni 2009 brach der Anbieter mit dem Release von zehn Sicherheits-Advisories für 31 Betriebssysteme und weitere Software-Schwachstellen seinen eigenen Rekord. Was bedeutet das für die Anwender? Es bedeutet, dass nicht gepatchte Schwachstellen Cyberkriminellen Tür und Tor für Exploits öffnen. Beispielsweise können Kriminelle über nicht gepatchte Schwachstellen im Browser eines Systems beliebigen Code ausführen, wenn der User über eine bösartige Website browst. Damit begibt er sich in die Hände der Räuber.
3. FAKEAV: Übergabe hart erarbeiteten Geldes für betrügerische Sicherheit. FAKEAV hat das Web schon mehrere Male unter Druck gesetzt. Die meisten Angriffe nutzten eine „Scareware“-Taktik und zeigten einen Blue Screen oder gefälschte grafische Benutzerschnittstellen, um Anwender vor Infektionen zu warnen. Einige der gefährlicheren Varianten nutzten eine „Lösegeld“-Taktik. User, die einem FAKEAV-Angriff zum Opfer fallen, werden im Endeffekt nutzlose Anwendungen kaufen, oder sogar kritische Informationen preisgeben neben ihrem hart verdienten Geld. Bei einem Durchschnittspreis von 50 Dollar pro Stück wird klar, dass mithilfe von FAKEAV gutes Geld zu machen ist. Deshalb erwarten wir künftig noch mehr FAKEAV-Angriffe.
4. Erweitern Sie Ihren Freundeskreis doch hüten Sie sich vor KOOBFACE Malware. In diesem Jahr debütierte das KOOBFACE-Botnet, dass sich vor allem auf die Nutzer von sozialen Netzwerken und Micro-Blogging-Sites konzentriert. Facebook und Twitter, die beiden Top-Kontaktnetzwerke haben heute weltweit Millionen Nutzer und werden damit zum Lieblingsziel der Angreifer. Die Beliebtheit dieser Sites mag wohl nie da gewesene Dimensionen erreichen, doch die steigende Anzahl der Malware, die sie angreifen, steht diesem Erfolg nicht nach. Die Opfer der KOOBFACE-Varianten werden mit FAKEAV infiziert und enden als Teil des weitverbreiteten KOOBFACE-Botnets oder als Eigner von verseuchten Profilen – Sie können es sich aussuchen.
5. Besser ausgeklügelte Angriffe bedeuten mehr Opfer. Die Cyberkriminellen erhöhen ihre Ansprüche und verfeinern ihre Angriffe stetig, um mehr Opfer in ihre Fallen zu locken. Eine neue Variante der BEBLOH-Familie von Informationsräubern geht weit über das Loggen von Tastatureingaben und deren Weiterleitung an einen Server hinaus. Die Malware stahl Nutzerinformationen und verwendete sie sofort, um der Entdeckung zu entgehen. Die neueste BEBLOH-Variante erzeugt statische Seiten, die unveränderte Kontoauszüge zeigt, um die eigenen Spuren zu verwischen. Die Opfer entdecken den Diebstahl nur, wenn sie auf ihre Online-Banking-Site von einer nicht infizierten Maschine aus zugreifen.
6. Kein System ist gegen Sicherheitsangriffe gefeit, und ganz bestimmt nicht der Mac. Die Zeiten, als sich die Mac-Anwender vor den heutigen Bedrohungen sicher fühlen konnten, sind vorbei. Die jüngste Verbreitung von Mac-Angriffen ist ein Beweis für das, was die Sicherheitsforscher schon immer sagten, nämlich, dass kein System gegen Sicherheitsangriffe immun ist, schon gar nicht der Mac. Während die Zahl der Mac-Anwender stetig zunimmt, steigt unglücklicherweise auch die Zahl der Cyberkriminellen, die das Mac OS zum Ziel ihrer Angriffe erkoren haben. Sie strafen die gängige Ansicht, Macs seien sicher, Lügen.
7. Blackhat SEO Angriffe stürmen die Charts. Als seien die üblichen Blackhat SEO Techniken nicht durchtrieben genug, nutzen Cyberkriminelle jetzt neue raffinierte Gadgets – Google Trends und GeoIP Tracking – um ihre Chancen zu erhöhen, dass User auf Links klicken, die sie zu eigens zusammen gebastelten bösartigen Seiten leiten. Diese Art des Angriffs kann jeden treffen, der im Web nach Informationen sucht. Um sich zu infizieren, bedarf es lediglich eines Klicks auf ein Top-Ranking-Suchergebnis.

Falls Sie sich Sorgen darüber machen, Ihr Computer könnte von einer Cyber-Attacke betroffen sein, so nutzen sie das kostenlose Trend Micro Tool Housecall zur Vorsorge und zum Entfernen von Malware.

Erst kürzlich wurde festgestellt, dass eine speziell erstellte PDF-Datei, die Trend Micro als TROJ_PIDIEF.ASP identifiziert hat, diverse indische, thailändische und neuseeländische Websites infiziert hat.

Der Trojaner nutzt eine kritische Sicherheitslücke in Adobe Reader 9.1.3 und Acrobat 9.1.3, Adobe Reader 8.1.6 und Acrobat 8.1.6 für Windows, Macintosh und UNIX sowie Adobe Reader 7.1.3 und Acrobat 7.1.3 für Windows und Macintosh aus. Diese Sicherheitslücken können dazu führen, dass die Anwendung abstürzt und Angreifer die Kontrolle über das infizierte System übernehmen. Daher hat Adobe seinen Kunden geraten, ihre PCs zu patchen und die notwendigen Updates herunterzuladen.

Der Trojaner gehört zu einer alten aber wohlbekannten Malware-Familie namens „ASProx“, die vergangenes Jahr ihr Unwesen im Internet getrieben hat. Diese Malware schaffte es sogar in die Trend Micro Top 8 des Jahres 2008.

Die meisten ASProx-Varianten, so auch die aktuelle, weisen denselben Schadteil auf: Zuerst infizieren sie diverse Websites. Besucher dieser Sites werden dann auf eine Reihe bösartiger URLs umgeleitet, die letztendlich dazu führen, dass noch mehr bösartige Dateien heruntergeladen werden.

Das derzeitige erneute Auftreten des ASProx-Codes bzw. der dahinter steckenden Cyber-Kriminellen hat zwar nichts Neues mit sich gebracht, aber es ist doch bemerkenswert, dass dieser Angriff das Bot-Netz nach fast einem Jahr Untätigkeit offensichtlich wieder zum Leben erweckt hat.

Benutzer sollten also wieder einmal Vorsicht walten lassen, wenn es um das Öffnen verdächtig aussehender Dateien geht. Außerdem wird ihnen dringend empfohlen, ihre Computer regelmäßig zu patchen, um nicht den Angriffen auf Sicherheitslücken zum Opfer zu fallen.

Das Trend Micro Smart Protection Network™ schützt die Benutzer vor dieser Bedrohung, indem es den Zugriff auf bösartige URLs sperrt und den Download bösartiger Dateien verhindert. Auch Mac-Benutzer sind durch Trend Micro Security for Mac und Smart Surfing for Mac geschützt.

Kunden ohne Trend Micro Produkte sollten sich mit HouseCall schützen, dem äußerst beliebten und leistungsstarken On Demand Scanner, der Viren, Trojaner, Würmer, unerwünschte Browser-Plug-ins und weitere Malware identifiziert und entfernt.