Archiv der Kategorie: SEO

Die UEFA Euro 2012 als Köder

Originalartikel von Paul Pajares, Fraud Analyst

Das große Interesse an der EURO 2012 nutzen auch die Cyberkriminellen für ihre Machenschaften. Die Sicherheitsspezialisten von Trend Micro haben eine bösartige Site entdeckt, die einen Domänennamen nutzt, der die offizielle UEFA Euro 2012 Site kopiert. Die Webseiten führen zu Werbe-Tracking- und Betrugsseiten.

Bösartige Domäne hostet mehrfache Bedrohungen

Die Site {BLOCKED}uro2012.com ahmt die offizielle Site http://www.uefa.com/uefaeuro/ nach. Die Nachforschung ergab, dass diese bereits geblockte Site verschiedene Schädlinge hostet, wie etwa die FAKEAV-Variante TROJ_FAKEAV.HUU. Wird der Trojaner in einem System ausgeführt, so zeigt er vermeintliche Scan-Ergebnisse für das infizierte System und verführt damit Nutzer eventuell zum Kauf eines falschen Antivirusprogramms, das er auch aktiviert.

Die FAKEAV „Aktivierungsseite“ ist in Wirklichkeit eine Phishing-Seite, die die Opfer dazu verleitet, persönliche Informationen preiszugeben. Der Trojaner kann auch Webbrowser deaktivieren (Internet Explorer, Mozilla Firefox, and Google Chrome).

Diese Domäne hostet auch die Datei TROJ_DLOADR.BGV, die Verbindung mit drei verschiedenen URLs aufnimmt, um die ZBOT-Variante TSPY_ZBOT.JMO herunterzuladen. Bei diesen Varianten handelt es sich um notorische Informationsdiebe, die es vor allem auf die Einwahldaten für Online-Banking abgesehen haben. Weitere Details zu der Schädlingsfamilie liefert die Studie „Zeus: A Persistent Criminal Enterprise“.

Blackhat SEO schlägt ebenfalls weiter zu

Auch nutzten die Cyberkriminellen das Spiel zwischen Portugal und Tschechien am 21. Juni für die Blackhat Search Engine Optimization (BHSEO) mit Hilfe von Social Engineering-Taktiken.

Suchten Nutzer nach den Schlagwörtern “Watch Portugal vs Czech Republic Live”, so erschien die bösartige Site als eines der ersten Suchergebnisse. Klickte ein Nutzer diesen Link an, so wurde er statt auf den Live Video-Stream des Spiels auf eine Seite mit einem „Video-Angebot“ weitergeleitet. Nutzer die unwissentlich das „Angebot“ annahmen, griffen auf damit verbundene Sites zu, die den Standort und die IP-Adresse des Betroffenen verfolgen. Damit können die Betrüger Geld verdienen, denn diese Daten werden als Page Visits zur Werbung gewertet.

Ein weiterer ähnlicher Angriff nützte das kürzlich stattgefundene Spiel Italien gegen England aus. Die Site {BLOCKED} glandvsitalylivestreameuro2012online.com leitet Nutzer auf http://www.{BLOCKED}og.com/2012/06/england-vs-italy-live-stream/ weiter, eine Site, die vermeintlich einen Live Video-Stream des Spiels anbietet. Auch in diesem Fall werden Nutzer auf eine betrügerische Seite geleitet, die dann ihrerseits zu Werbe-Tracking-Sites führt.

UEFA 2012 Web Extension, Facebook Clickjacking

Die Sicherheitsforscher fanden auch eine gefälschte Google Chrome-Erweiterung, die auf Chrome Web Store gehostet wird. Die Analyse ergab, dass Nutzer, die besagte Erweiterung ihrem Browser hinzufügen und aktivieren, auf die bösartige Site http://www.{BLOCKED}linetv.biz/livesports.php weitergeleitet werden und dann zu Werbe-Tracking-Sites.

Natürlich werden auch Facebook-Nutzer von dieser Bedrohung nicht verschont. Es gibt verschiedene Pinnwand-Einträge, die angeblich zu einer Seite mit Video-Streaming der Spiele führen. Fällt ein Nutzer darauf herein, so ist das Ergebnis dasselbe wie bei den anderen Taktiken.

Euro 2012 Spam

Rik Ferguson, Director Security Research & Communication EMEA, entdeckte Spam-Nachrichten, die Spielergebnisse auf die in der Abbildung dargestellte Weise missbrauchten:

Nutzer, welche eine solche E-Mail erhalten, sollten auf keinen Fall den Link darin anklicken, denn er führt zu einer kanadischen Site, die gefälschte Medikamente anbietet.

Die betrügerischen Techniken im Zusammenhang mit beliebten Sportereignissen sind sehr weit verbreitet. Daher sollten Nutzer nur zuverlässige Websites im Zusammenhang mit der EURO 2012 aufsuchen und diese dann mit einem Lesezeichen versehen. Weitere Details zu dieser Art von Gefahr bieten die FAQs unter Sports as Bait: Cybercriminals Play to Win.

Trend Micro-Anwender sind vor diesen Bedrohungen über das Smart Protection Network geschützt, denn die Sicherheitsinfrastruktur blockiert die bösartigen URLs und entdeckt die damit in Zusammenhang stehende Malware. Auch Spam-Nachrichten werden geblockt.

Das Geheimnis des wachsenden KOOBFACE-Geschäfts: das Traffic Direction System

Originalartikel von Jonell Baltazar, Senior Threat Researcher

Das KOOBFACE-Botnetz ist dafür berüchtigt, mit dem Pay-per-Install (PPI) und Pay-per-Click (PPC)-Geschäftsmodell Geld zu machen. Allein 2009 verdiente die Bande mehr als zwei Millionen US-Dollar. Doch das scheint nicht genug gewesen zu sein, denn die Kriminellen rüsteten ihr Botnetz-Framework mit einem ausgeklügelten Traffic Direction System (TDS) auf, das den Internet-Verkehr auf von ihnen angegebene Sites lenkt. Darüber hinaus fügten sie neue Komponenten hinzu, um die Menge des Internetverkehrs in Richtung ihres TDS zu steigern. TDS lenkt den Verkehr hauptsächlich auf Werbeseiten um, wofür die Kriminellen nach Anzahl der Clicks bezahlt werden. Folgende Schautafel zeigt die Schritte, über die TDS den Kriminellen Geld in die Kasse spült:

  1. Erzeugen und Registrieren von E-Mail-Adressen: Nachdem KOOBFACE nicht länger automatisch Google-Konten für die bösartigen Aktivitäten erzeugen kann, sind die Kriminellen nun auf Yahoo! Mail-Konten umgestiegen, um so die benötigten Google-Konten zu kreieren.
  2. Erzeugen von Konten in sozialen Netzwerken: Die von KOOBFACE generierten E-Mail-Adressen werden dafür genutzt, um sich bei sozialen Netzwerken wie Twitter, Tumblr, FriendFeed3, FC24, livedoor5, So-net6 und Blogger anzumelden. Einige Konten wurden auch in altervista.org7 generiert. Die vom Botnetz erzeugten Domänen der Blog-Konten enthielten Wörter wie „news“ oder „2011 news“.
  3. Bilder sammeln: Das Botnetz wurde auch um eine neue binäre Komponente angereichert, die vor allem pornografische Bilder, Fotos von Berühmtheiten, Hochzeiten, Tattoes und Autos sowie Hintergrundbilder von Googles Image-Suche sammelt. Diese nutzen die Kriminellen dann in ihren Blog-Veröffentlichungen.
  4. Erstellen von Blog-Veröffentlichungen: Die Bande missbraucht beliebte japanische Blogging-Plattformen wie FC2, Livedoor, So-net, Jugem und Cocolog. Daneben nutzen sie aber auch die bewährte Google Blogger-Site mithilfe einer darauf zugeschnittenen Schadsoftware-Komponente, die Blog-Konten generiert, während andere Inhalte oder Veröffentlichungen von dem Proxy C&C-Server abzieht. Diese Posts werden automatisch auf die Zielplattformen hochgeladen. Sie enthalten Bilder, Links und Schlüsselwörter, die dem SEO-Ranking der entsprechenden Sites zuträglich sind. Zusätzlich verbergen sie auch JavaScript-Code, der auf die TDS-Domäne des Botnetzes weist. So kann das TDS die Zahl der Besuche der einzelnen Blog-Veröffentlichungen nachverfolgen und die Besucher auf die gewünschten Sites umlenken. Das Botnetz verdient Geld mit den Umlenkungen und der Anzahl der Clicks der Opfer während des Lesens der Veröffentlichungen.
  5. Links auf Posts mit möglichst vielen teilen: Die Bande erhöht den Verkehr zu den bösartigen Blog-Veröffentlichungen auch, indem sie aktiv Schlüsselwörter dazu im Web verteilt und besagte Posts über soziale Netzwerke bewirbt.

Mit TDS hat KOOBFACE ein exzellentes Mittel gefunden, um Star-Fans, Online-Daters, gelegentliche Porno-Surfer oder Autofans effizient anzusprechen und sie für ihre Zwecke einzuspannen.

Die KOOBFACE-Bande ist immer noch aktiv und wird auch weiterhin ihre Opfer suchen. Deren Zielplattformen sollten deshalb ihre Sicherheitsmaßnahmen verstärken, um durch Bots automatisierte Interaktion zu unterbinden.

Die Nutzer ihrerseits sind gut beraten, Sicherheitslösungen zu implementieren, die vor solchen Gefahren schützen können. Trend Micros Smart Protection Network schützt die Anwender auch vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service die Spam-Nachrichten blockiert, noch bevor sie die Inbox des Nutzers erreichen. Der Web Reputation Service wiederum verhindert den Zugriff auf bösartige Sites und Domänen, die Malware-infizierte Dateien enthalten.

Eine Alternative wäre, einen Webbrowser einzusetzen, der die mögliche Ausführung von JavaScript-Code verhindert. Das Problem dabei ist, dass damit auch „gutartiger“ Code von legitimen Websites blockiert wird.

Weitere Informationen zu den KOOBFACE-Strategien enthält das Whitepaper “More Traffic, More Money: KOOBFACE Draws More Blood”.

 

HTML5 – Die größten Gefahren

 

Originalartikel von Robert McArdle, Senior Threat Researcher

HTML5 stellt die fünfte Revision der am meisten verbreiteten Markup-Sprache für die Erstellung von Webseiten dar. Es handelt sich dabei nicht um ein Upgrade, wie man es üblicherweise kennt, sondern um eine ganze Reihe von Features, jedes mit unterschiedlicher Browser-Unterstützung. Zu den wichtigsten Neuerungen gehören eine Grafikbibliothek, einfachere Unterstützung von multimedialen Inhalten, Geolocation, Drag & Drop-Funktionalität sowie Web-Benachrichtigungen. So mächtig die Neuerungen auch sind, so gefährlich können sie den Nutzern werden. Denn sie bieten nicht nur den Web-Entwicklern neue Möglichkeiten, sondern auch der kriminelle Untergrund wird sie für seine bösen Zwecke missbrauchen.

Die größte Bedrohung, die über HTML5 entsteht, sind BITB (Botnets In The Browser). Angreifer sind mit HTML5 in der Lage, ein Botnet zu erzeugen, das auf jedem Betriebssystem, überall auf jedem Gerät funktioniert. Es läuft vorwiegend im Hauptspeicher und berührt daher die Platte kaum. Somit ist es für traditionelle dateibasierte Antivirus-Programme schwierig, es zu entdecken. Auch lässt sich JavaScript einfach verschleiern, sodass auch Netzwerk IDS-Signaturen sich mit diesen BITB schwer tun. Schließlich ist das Botnet webbasiert, kommt also durch die meisten Firewalls leicht durch.

Schritte einer Browser-basierten Botnet-Attacke

Infektion: Das System eines Nutzers wird infiziert, indem er dazu verleitet wird, das ursprüngliche JavaScript auszuführen. Es gibt viele Wege, dies zu tun, einschließlich XSS, Anklicken eines Links in einer Mail oder Instant Message, Blackhat Search Engine Optimization (SEO), Social Engineering, Kompromittieren eine Website oder andere Methoden mehr.

Persistenz: Ein Browser-basiertes Botnet ist von Natur aus nicht so beständig wie ein traditionelles. Sobald ein Opfer den Browser-Tab schließt, stoppt auch der bösartige Code. Dies muss ein Angreifer im Hinterkopf behalten, und die Aufgaben, die er einem BITB zuweist, der eher flüchtigen Natur der Botnet-Knoten anpassen. Wichtig ist dabei, dass Systeme einfach neu infiziert werden können, deshalb eignen sich persistente XSS als Angriffsvektoren besonders gut. Auch die Kombination aus Clickjacking und Tabnabbing stellen einen möglichen Ansatz dar. Clickjacking wird dazu genutzt, um ein Opfer zu zwingen, eine weitere Webseite zu öffnen, die exakt denselben Inhalt wie die ursprüngliche hat. Dabei merkt das Opfer nicht, dass der bösartige Tab im Hintergrund läuft. Um das Leben dieses Tabs zu verlängern, kann ein Angreifer die Technik des Tabnabbings nutzen. Damit maskiert er den ursprünglichen Tab und die Seite als eine häufig genutzte Seite wie Google oder YouTube. Eine sogar noch einfachere Form der Beständigkeit besteht darin, die bösartige Seite als interaktives Spiel darzustellen. Idealerweise ist das Spiel dann so aufgebaut, dass der Nutzer es den ganzen Tag über geöffnet hält und immer wieder darauf zurückgreift, um neue Aufgaben durchzuführen.

Payload: Ein solcher Angriff kann in verschiedene Möglichkeiten münden:

  • DDoS-Attacke: Der Web Worker kann Cross Origin Requests nutzen, um Tausende von GET-Anfragen an eine Ziel-Site zu schicken, sodass es zu Denial of Service kommt.
  • Spamming: Schlecht konfigurierte Web-Formulare auf den „Contact Us“-Seiten können zur Erzeugung von Spam genutzt werden.
  • Bitcoin-Erzeugung: Bitcoins stellen die beliebteste Währung des cyberkriminellen Untergrunds. Es gibt bereits etliche Browser-basierte Bitcoin-Generatoren.
  • Phishing: Mithilfe des Tabnabbing-Ansatzes kann ein Angreifer das Aussehen eines bösartigen Tabs jedes Mal ändern, wenn dieser nicht mehr im Fokus ist. Das heißt, jedes Mal, wenn das Opfer zu diesem Tab zurückkehrt, erhält er ein Login eines anderen Dienstes. Somit ist der Angreifer in der Lage, die Login-Daten abzugreifen.
  • Interne Netzwerkerkundung: Mit dieser Technik kann ein Angreifer nach Sicherheitslücken oder die Ports im Netzwerk eines Opfers scannen.
  • Verwendung eines Netzwerks als Proxy: Mit demselben Ansatz, den die Shell des Future-Tools verwendet, erlaubt es ein Netzwerk kompromittierter Systeme einem Angreifer, dieses als Proxy für Attacken und Netzwerkverbindungen zu nutzen, sodass deren Verfolgung schwieriger wird.
  • Verbreitung: Kriminelle können eine Wurmkomponente ins Botnet einfügen, die sich über XSS-Angriffe oder SQL Injection auf angreifbaren Sites verbreitet.

Dies stellt eine bemerkenswerte Möglichkeit im Arsenal von Angreifern dar und wird sicherlich bald häufiger eingesetzt werden, vor allem bei gezielten Attacken. Herkömmliche Sicherheitsmaßnahmen gegen Malware können diese neuen Angriffsvektoren nicht abwehren, doch gibt es zwei kostenlose Tools, die einen sehr guten Schutz bieten.

NoScript: Das Browser Plugin ist unter Fachleuten bereits gut bekannt. NoScript schränkt die Funktionsweise von JavaScript und anderen Plungins auf nicht vertrauenswürdigen Seiten ein.

BrowserGuard: Trend Micros eigenes Tool umfasst eine Reihe von Funktionen, um webbasierte Angriffe abzuwehren. Dazu gehören unter anderem fortschrittliche heuristische Techniken.

In dem ausführlichen Whitepaper HTML5 Overview: A look at HTML5 Attack Scenarios finden Interessierte alle Informationen zu den Neuerungen in HTML5 und auch den damit einhergehenden Gefahren.

 

 

 

FAKEAV nutzt verstärkt Java-Sicherheitslücken und verfeinerte gefälschte Alerts

Originalartikel von Norman Ingal (Threat Response Engineer bei Trend Micro)

In letzter Zeit sind Angriffe auf Java-Sicherheitslücken wieder stärker in den Mittelpunkt der Aufmerksamkeit gerückt. Letzte Woche beschrieb der Sicherheits-Blogger Brian Krebs, wie Exploit-Pakete Java nutzen. Auch zitierte er Microsoft, die vor einer „noch nie da gewesenen Welle“ der Java-Exploits gewarnt hatten.

Die Security Researcher von Trend Micro bestätigen ebenfalls die steigende Nutzung von so genannten FAKEAV Brückenseiten, die Java-Lücken ausnutzen. Diese Technik setzt Blackhat Engine Optimizaton (SEO) ein, um infizierte Seiten als “Türöffner” (Doorways) für die Verteilung von FAKEAV zu benutzen. Wo diese Schwachstellen nicht ausgenutzt werden können, werden PDF-Exploits stattdessen herangezogen. Trend Micro hat besagte PDF- und Java-Exploits als TROJ_PIDIEF.HLL beziehungsweise JAVA_LOADER.HLL identifizieren können.
Analysen der mit FAKEAV in Verbindung stehenden Brückenseiten zeigen, dass die bösartigen URLs, welche die Payloads hosten (Java- und PDF-Exploits) entweder das Seo Sploit Pack oder das Phoenix Exploit Pack nutzen. Außerdem wird die tatsächliche Payload nicht in den Brückenseiten gehostet. Die am Ende stehende URL ist das Ergebnis einer Reihe von Weiterleitungen, die von den Brückenseiten ausgehen. Diese Weiterleitungen ändern sich regelmäßig und bestimmen, wo sich die nächste Payload-URL befindet.



Zwei Sicherheitslücken werden auf diese Weise besonders häufig missbraucht:

Doch dies ist nicht die einzige Art, wie FAKEAV neuerdings in Erscheinung tritt. Browser-spezifische Payloads und Seiten sind nicht neu, doch werden diese Seiten immer mehr „aufgemöbelt“. Die Abbildungen zeigen zwei Beispiele dieser Art von Seiten – eine für den Internet Explorer und eine weitere für Firefox:





Beide Seiten ahmen die tatsächliche Schnittstelle der beiden Browser perfekt nach. Im Fall von Firefox ist nicht nur das Site-Design perfekt sondern auch die Browser-Version für ein bestimmtes System ist richtig. Damit werden Nutzer noch einfacher in die Irre geführt.

Die gefälschten Viren-Alerts selbst sind auf zwei Arten weiter entwickelt worden. Online-FAKEAV-Varianten verstecken ihren Code sehr gut und nutzen AES, um ihn zu verschlüsseln. Lokale FAKEAV-Varianten wiederum setzen auf Audio-Warnungen als Teil ihrer Verhaltensweise. Die Hauptschnittstelle hat sich nicht wirklich geändert, aber es gibt einen neuen Icon für die „Pille“.



Alle diese Entwicklungen deuten darauf hin, dass die Kriminellen hinter der gefälschten Antivirus-Software ihre Techniken weiter entwickeln, auch wenn sie nicht im Scheinwerferlicht stehen. Die Anwender der Trend Micro-Produkte sind über das Smart Protection Network vor diesen Gefahren geschützt, denn die Sicherheitsinfrastruktur erkennt mithilfe der Reputationsdienste die bösartigen Sites und Dateien, bevor diese das System des Nutzers erreichen.

Blackhat-Optimierungstechnik in Social Bookmarking Sites

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Infizierte Links in Ergebnissen der Suchmaschinen sind mittlerweile nichts Neues mehr. Doch nun haben die Cyberkriminellen auch Bookmarking Sites wie Digg und Reddit als Ziel dieser Art des Angriffs entdeckt. Der britische Nachrichtendienst The Register berichtete über die erfolgreiche Manipulation von Abstimmungen durch einen Blackhat SEO-Experten in Reddit, um möglichst viel Verkehr auf seine eigenen Blog-Einträge umzuleiten.

Der Angriff auf Reddit scheint relativ einfach und reduziert sich im Grunde genommen auf das Erzeugen mehrere neuer Konten, die für einen bestimmten Artikel stimmen, den der Spammer eingestellt hat. Im aktuellen Fall hatte er diesen Prozess automatisiert. Die einzige dabei erforderliche manuelle Aktion bestand in der Lösung von CAPTCHAs für die neuen Konten. Solche Angriffe lassen sich natürlich nicht mit jeder Art von Content starten. Die Inhalte müssen für Reddit-Nutzer interessant und gut genug sein, damit sie auch „auf natürliche Weise“ dafür stimmen. Anderenfalls würde der Link schnell entdeckt, im Ranking herabgestuft oder gar von der Seite eliminiert werden.

Diese Art der Optimierungstechniken sind nützlich, um Artikeln einen schnellen Anschub zu verschaffen, doch danach stoßen sie an ihre Grenzen. Ausgeklügeltere Angriffe beziehen im Ranking hoch eingestufte Nutzer auf diesen Webseiten mit ein, denn deren Stimme hat mehr Einfluss. Sie lassen sich auch in Verbindung mit konventionellen SEO-Taktiken anwenden. Ein Link von Digg und Reddit auf eine andere Site verbessert deren Ranking bei Google, doch zu Marketingzwecken können weitere SEO-Methoden auch das Ranking einer Drittseite erhöhen.

Als alleinige Angriffsmethode droht Nutzern dadurch kein direkter Schaden. Die Besitzer von Sites wie Digg oder Reddit sind die eigentlich Geschädigten, denn ihr Ruf steht auf dem Spiel. Es ist ähnlich wie in Facebook, wo angebliche Links zu sensationellen Neuigkeiten oder kostenlosen Angeboten unweigerlich zu Umfragen führen. Der Nutzer hat dabei keinen direkten Schaden, doch das „Ökosystem“ ist damit beschädigt.

Doch können sehr wohl auch Cyberkriminelle die Methoden nutzen. KOOBFACE beispielsweise ist bekannt dafür, Social Engineering-Taktiken einzusetzen, um Nutzer dazu zu verführen, auf Links zu klicken. Grundsätzlich kann jede Site, wo Nutzer Inhalte austauschen, oder jede soziale Networking Site missbraucht werden – auch wenn auf diesem Weg bislang noch keine Schadsoftware verteilt wurde. Die Werkzeuge und Methoden dafür gibt es bereits.