FAKEAV-Malware wird mittlerweile wie als ganz normales Geschäft betrieben, und das trotz der hohen Aufmerksamkeit von Seiten der Medien. Trend Micro-Sicherheitsforscher haben drei wichtige Aspekte – nämlich Social Engineering-Techniken, FAKEAV-Techniken und das Geschäft mit der Malware — untersucht, um herauszufinden, warum diese berüchtigte Malware sich so hartnäckig behaupten kann.

Social Engineering stellt die überwiegend genutzte Technik für die Weiterentwicklung böswilliger Aktivitäten dar, sowohl online als auch offline. FAKEAV ist ein gutes Beispiel für eine Online Social Engineering-Erfolgsstory. Die Malware nutzt menschliche Schwächen aus und setzt Techniken wie „Black Hat“ Search Engine Optimization (SEO) ein, um Nutzer auszutricksen.

Hinter professionell wirkenden Benutzerschnittstellen, störenden Pop-ups und sonstigen Scareware-Taktiken von FAKEAV steckt eine einfache Technologie. Man kann daher sagen, dass die FAKEAV-Technik eher trickreich als komplex ist. Aber ungeachtet der Einfachheit der Technik spielt sie eine erfolgskritische Rolle für die Social Engineering Malware-Taktik.

Natürlich ist eine böswillige Kampagne sinnlos, wenn sie den Betreibern nichts bringt. Im FAKEAV-Geschäft geht es um hohe Einsätze, denn neben den 40 bis 100 Dollar, die die Nutzer als Preis für eine Schwindelsoftware zahlen, geht es vor allem um Informationsdiebstahl.

Weitere Einzelheiten zu den Aspekten gibt es im Security Spotlight Artikel “Why FAKEAV Persists”.

Nutzer tun im Internet regelmäßig  zwei Dinge: Sie sehen sich Videos an und nutzen die Suchmaschinen. Für die Bedrohungslandschaft heißt dies Blackhat SEO-Angriffe (Search Engine Optimization), nachgebaute bösartige YouTube-Seiten und seit Kurzem Angriffe, die beide Taktiken nutzen.

Die Sicherheitsforscher von Trend Micro stießen kürzlich auf eine Attacke, die Suchergebnisse für Zeichenketten wie Videos der Reality-TV-Berühmtheit Teresa Guidice oder der britischen Schauspielerin Holly Davidson sowie von der Ölkatastrophe im Golf von Mexiko nutzte, um die User auf gefälschte YouTube-Seiten zu locken, wo dann die allzu bekannte Warnung einer angeblichen Malware-Infektion auftauchte.

Die Ergebnisse sind kompromittierte Sites, die Suchwörter enthalten, mit denen die User darauf gelockt werden können.

Die Analysten fanden eine weitere Änderung, und zwar in Form der Kombination von Blackhat SEO und einer wohlbekannten Malware-Technik. Die Suchergebnisse des Strings “Mel Gibson tapes” leiten nicht auf Seiten mit falschen Infektionswarnungen, sondern zu einer Aufforderung, den Adobe Flash Player Installer herunter zu laden:


Nutzer sollen glauben, sie seien zu einem Video weiter geleitet worden und müssen nur den Adobe Flash Player installieren, um es anzusehen.Laut  Marco Dela Vega, Threat Response Engineer bei Trend Micro, haben die Cyberkriminellen ein gutes Auge für Details. Denn sie haben nicht nur eine überzeugende Schnittstelle für den gefälschten Adobe Installer erstellt, sondern auch eine URL verwendet, die sehr überzeugend als Link zur Adobe Site wirkt.

Dies ist eine bemerkenswerte Änderung, denn die Blackhat SEO-Angriffe sind eigentlich nur dafür bekannt, FAKEAV-Varianten zu vertreiben. Die Angriffe nutzen auch nicht mehr allein die Beliebtheit großer News aus. Sie werden täglich gestartet und vergiften Suchläufe und erzeugen Malware.

Die für besagte Angriffe genutzte Malware wurde als TROJ_FAKEAV.MVA beziehungsweise WORM_UTOTI.Y identifiziert.

Die Sicherheitsanalysten von Trend Micro erforschen diese Angriffe bereits länger und wir haben des öfteren darüber berichtet, etwa „Neue Blackhat SEO Techniken“ oder im Whitepaper Unmasking FAKEAV.

With the continuing rampancy of blackhat SEO attacks, users are advised to be extremely cautious when conducting searches.

Das Smart Protection Network liefert einen mehrschichtigen Schutz gegen Blackhat SEO-Angriffe, denn der Web Reputation Service blockiert die bösartigen Links und der File Reputation Service erkennt bösartige Dateien.

Bei Untersuchungen zu Blackhat Search Engine Optimization (SEO) stießen die Sicherheitsforscher von Trend Micro auf einen SEO-Angriff in dem beliebten Dokumenten-Sharing Portal Scribd. Nutzer können hier Dokumente hochladen und mit anderen Personen teilen.

Das Dokument, dass die SEO-Zeichenketten und Links enthält, war eine PDF-Datei, die auf Scribd hochgeladen worden war.

Die weitere Recherche ergab, dass das Nutzerkonto, in dem die Datei hochgeladen worden war, sehr aktiv PDF-Dateien für Blackhat-Angriffe hochlud – bis dato sind es 3.003 solcher Dateien, seitdem das Konto vor 26 Tagen erzeugt wurde.

Das Anklicken eines jeden Links führt auf eine Site, die speziell darauf ausgerichtet ist, Werbung zu hosten oder zu verlinken. Die Site an sich ist nicht bösartig, denn sie initiiert keine Drive-by-Downloads oder verursacht auch keine automatischen Umleitungen. Doch ein Link , der auf eine Viagra Spam-Site und auf bösartige FAKEAV-Links führt, zeigt die tatsächliche Ausrichtung.

Dieser SEO-Pfad zeigt zwei beunruhigende Blackhat SEO-Trends – die Nutzung von anderen Dokumentenformaten als HTML, um SEO-Seiten zu erzeugen, sowie die Nutzung von Dokumenten-Sharing-Sites, um nicht HTML-Blackhat-Angriffe zu hosten.

Die Anwender von Trend Micro Produkten sind über das Smart Protection Network gegen diese Art des Angriffs geschützt.

Internet-Nutzer müssen sich mittlerweile damit auseinandersetzen, dass alles, was ihnen im Web begegnet auch Betrug sein kann, einschließlich angeblicher Antivirus-Software. Trend Micros „Threat Encyclopedia“ umfasst mittlerweile mehr als 2000 Einträge zu FAKEAV.

Viele naive Nutzer fallen immer noch auf den uralten Trick der Scareware-Taktik der Anbieter der gefälschten Antivirensoftware herein: Die Opfer sollen glauben, ihre Systeme seien mit Schadsoftware infiziert und sollen aus Angst vor den Folgen dieser Gefahr für etwas zahlen, was sich als vollkommen unnütz entpuppt.

Die Techniken, die die Cyberkriminellen nutzen, entwickeln sich alarmierend schnell weiter, um ihre FAKEAV-Kreationen an unwissende Nutzer zu bringen. Häufig greifen sie auf „vergiftete“ Suchergebnisse zu den gerade populärsten Themen zurück oder auf Spam-Nachrichten, die bösartige URLs oder Dateianhänge enthalten. Der Verbreitung von FAKEAVs scheinen keine Grenzen gesetzt zu sein. Die verschiedenen Varianten versuchen aus allen wichtigen Nachrichten in der Welt Profit zu schlagen – jeden Tag erscheinen Hunderte neuer gefälschter AV-Domänen.

Infizierte Nutzer werden über FAKEAV nicht nur betrogen, sie werden auch zu direkten Teilnehmern in Botnetzen und unterstützen somit die weitere Verbreitung der Schadsoftware. FAKEAVs überlassen nämlich ihre Verbreitung den Botnetzen, sodass sich die Cyberkriminellen auf die Entwicklung von immer effizienteren Einschüchterungstaktiken und Pay-per-Install-Modellen konzentrieren können. Auf diese Weise haben sie sich mit anderen Cyberkriminellengruppen zusammengeschlossen, etwa den KOOBFACE-  und BREDOLAB-Banden, und ein sehr lukratives Geschäftsmodell entwickelt.

Nutzer sollten immer im Hinterkopf behalten, dass FAKEAVs nur einem einzigen Zweck dienen, nämlich dem Profit der Cyberkriminellen auf Kosten der Nutzer. Dies ist auch der Grund, warum diese Schadprogramme immer weiter entwickelt werden und in vielfältiger Weise ausgeliefert werden – sogar in die iPhones haben sie ihren Weg gefunden.

Dennoch ist es nie zu spät, vorsichtig zu sein und lediglich vertrauenswürdige Sites für Updates zu nutzen. Auch sollte man vermeiden, auf verdächtig erscheinende URLs zu klicken sowie Dateianhänge zu öffnen oder gar herunter zu laden, vor allem wenn sie von unbekannten Absendern kommen. Schließlich können sich Nutzer mit Software schützen, die auf Reputation setzt, wie Trend Micros Smart Protection Network. Damit sind die Anwender vor FAKEAV-bezogenen Infektionen sicher, denn das intelligente Netzwerk blockiert über die Mail-Reputationstechnologie Spam-Nachrichten, hindert Nutzer mithilfe der Webreputation daran, auf bösartige Websites zuzugreifen und entdeckt über die Dateireputationstechnologie bösartige Dateien.

Eine meiner Bekannten hatte den folgenden Status ihres Facebook-Profils angegeben:

Facebook-Status

Bei diesem Eintrag beschlich mich ein ungutes Gefühl, und ich beschloss, mich etwas umzusehen.

Was Facebook anbelangt, gibt es nichts Besorgniserregendes, es scheint keine an sich bösartige App zu sein. Eine Anfrage bei Yahoo ergab, dass „Un named App“ nichts anderes als das “Boxes”-Tab der eigenen Facebook-Profilseite ist.

Doch Vorsicht: Es gibt dennoch ein reelles Risiko. Kriminelle haben sich diesbezügliche Sorgen der Facebook-Anwender zunutze gemacht und bereits damit begonnen, Google Suchergebnisse zu infizieren.

Google-Suchergebnisse

Ich startete bei Google ein Anfrage nach “facebook unnamed app” und musste feststellen, dass ein Drittel der Ergebnisse auf der ersten Seite auf eine bösartige Website zeigten, die mit dem Ziel aufgesetzt worden war, gefälschte Antiviren-Software unter der Bezeichnung Security Tool zu verteilen.

Ist ein Nutzer unvorsichtig genug und klickt den Link an, so erhält er eine Dialogbox, die ihn darüber informiert, dass er eine Riesenanzahl infizierter Dateien auf seiner Maschine hat. Er wird aufgefordert, das Security Tool für die Säuberung zu nutzen. Natürlich handelt es sich nicht um eine tatsächliche Sicherheitslösung. Das Tool soll das Opfer dazu bringen, in klingender Münze zu zahlen.

Security Tool – gefälschtes AV

Meine Empfehlung: “Suchen” Sie immer umsichtig, vor allem wenn es um Suchanfragen zu gerade populären Themen geht. Mittlerweile sind Such- und Gesprächstrends ein beliebtes Mittel für die Kriminellen, um Unschuldige auf bösartige Software umzuleiten.

Wer sich Sorgen um die eigene Computersicherheit macht, kann seinen PC mit einer reellen Sicherheitslösung scannen, und zwar mit dem kostenlosen Housecall-Dienst. Bei Fragen können Sie auch den Autor unter der Mailadresse rik_ferguson@trendmicro.com erreichen.

Noch bevor der erste Nutzer die neueste Apple-Technologie, das iPad, kaufen kann, ziehen die Cyberkriminellen bereits ihren Profit aus deren Popularität.

Die Sicherheitsanalysten von Trend Micro haben einige bösartige Suchergebnisse gefunden, bei Anfragen nach Informationen zu der Ankündigung des Apple-Tablets. Die infizierten Suchergebnisse entpuppten sich als Teil der anhaltenden Blackhat Search Engine Optimization (SEO) FAKEAV-Kampagnen. Das Anklicken der Suchergebnisse führt zum Download einer gefälschten Antivirus-Software, die Trend Micro als TROJ_FAKEAV.EAM identifiziert hat.

Bei Ausführung zeigt TROJ_FAKEAV.EAM eine professionell aufgesetzte grafische Benutzerschnittstelle an, um die Nutzer dazu zu bringen, die Software zu installieren. Dann erscheint ein gefälschter Infektions-Alert. Geht ein Nutzer darauf ein, sein System von den angeblichen Infektionen zu säubern, zeigt der Trojaner eine Werbeseite, die zu einer Phishing-Seite führen kann, sollte der User sich für den Kauf der FAKEAV entscheiden.

Seitdem Apple bekannt gegeben hat, wann das iPad erhältlich ist, ist das Tablet das heißeste Thema im Web. Und Cyberkriminelle lassen sich diese Gelegenheit nicht entgehen, daher ist es wahrscheinlich, dass viele Nutzer diesem neuen FAKEAV-Angriff auf den Leim gehen werden. Trend Micro warnt eindringlich vor bösartigen Links und empfiehlt, für Informationen zum iPad nur Sites zu besuchen, die eine gute Reputation haben.

Das Smart Protection Network schützt die Anwender vor dieser Gefahr, indem es den Zugriff auf bösartige Sites verhindert und auch den Download infizierter Dateien.

Die Trend Micro Sicherheitsforscher in EMEA haben einen Blackhat SEO-Angriff entdeckt, der Suchanfragen nutzt, die den String “free printable” enthalten, um den Suchverkehr zu übernehmen und ihn in eine gefälschte Suchmaschine umzuleiten.

Die Analysten fanden heraus, dass diese Anfragen mit dem String “free printable” Ergebnisse liefern, die auch infizierte Websites umfassen. Diese Websites enthalten bösartige Java Scripts,die als JS_REDIRECT.SMF und JS_REDIRCT.MAC identifiziert wurden. Sie stoßen bei jedem Besuch der infizierten Website eine Reihe von Umleitungen an, die schließlich zu einer gefälschten Such-Engine führen, die automatisch den ursprünglich gesuchten String in die eigene Search Textbox stellt.

Das Ziel der Cyberkriminellen scheint das Hijacking des Suchverkehrs in Search Engines zu sein, um ihn in ihre eigenen Such-Engines umzuleiten und so Geld zu verdienen. Noch ist nicht klar, ob es dabei bleibt, doch Nutzer sollten vorsichtig sein, denn die Cyberkriminellen könnten sehr einfach die endgültige Zielseite auf eine Malware-Hosting Site ändern.

Folgendes Diagramm zeigt, wie die Hijacking-Suchläufe funktionieren:

Es ist anzunehmen, dass der SEO-Angriff von der Tatsache profitiert, dass das Interesse an kostenlos auszudruckenden Dateien ziemlich hoch ist. Trend Micro empfiehlt Anwendern dringend, keine Suchanfragen zu stellen, die die Wörter „free printable“ enthalten, da sie an bösartige Sites weiter geleitet werden könnten. Nähere Informationen zu dieser Art von Angriffen finden sich unter dieser Adresse.

Nach dem Erdbeben in Haiti am 12. Januar wurde das Internet überflutet mit Spendenaufrufen von allen möglichen Unternehmen und Organisationen. Doch nicht alle diese Aufrufe verfolgten ehrliche Absichten. Martin Roesler, Director of Threat Research bei Trend Micro, ruft Internetnutzer zur Vorsicht beim Anklicken von entsprechenden Websites auf: „Wir haben bereits gefälschte Spenden-Sites, Spam und FAKEAV-bezogene SEO-Angriffe (Search Engine Optimization) entdeckt, welche diese Katastrophe als Social Engineering Taktik nutzen. Und es werden immer mehr. Deshalb müssen hilfswillige Anwender sicherstellen, dass sie ihr Geld auf vertrauenswürdigen Sites spenden, dass alle Sicherheitsfunktionen ihres Webbrowsers aktiv sind und dass sie per Hand die URLs, mit denen sie verbunden sind, gegenprüfen.“ Er empfiehlt, E-Mails, die „One-Click“-Spenden oder ähnliche Dienste anbieten, nicht zu vertrauen.

Obige Spam-Nachricht gibt vor, vom UNICEF International Response Fund zu kommen, und enthält einen Aufruf zum Spenden von Hilfsgütern und Geld. Sie beschreibt sogar die angeblichen Bemühungen der Organisation bei der Hilfe für die Erdbebenopfer in Haiti. Doch unglücklicherweise führt der angegebene Spenden-Link auf eine Phishing-Site.

Auch Nutzer, die sich über die Ereignisse informieren wollen, landen infolge von SEO-Poisoning häufig auf bösartigen Sites. Beim Anklicken solcher Links wird eine FAKEAV-Variante TROJ_FAKEAV.ZX installiert.

Kriminelle nutzen schon länger Tragödien als Social Engineering Taktik. Naturkatastrophen, der Tod von Berühmtheiten, virale Videos und andere zweifelhafte Geschichten – praktisch alles, was Aufsehen im Web erregen kann – verwenden sie als Trigger.

Anwender des Smart Protection Networks von Trend Micro sind vor Gefahren dieser Art geschützt, denn die Sicherheitsinfrastruktur blockiert Spam-Nachrichten, bevor sie die Inbox erreichen, und verhindert auch den Zugriff auf bösartige Sites und Domänen sowie das Herunterladen von verseuchten Dateien.

Meistens denken wir bei Halloween an Kürbisse und Kostüme, doch Cyberkriminelle haben damit anderes im Sinn, nämlich Anwender dazu zu bringen, ihnen ihre persönlichen Daten preiszugeben. Die Trend Micro TrendLabs haben die sieben schlimmsten Bedrohungen zusammengestellt, die an Halloween an die Türen klopfen könnten:

1. Maßgeschneiderter ZBOT Spam wird die Mailboxen überschwemmen. Das Zeus-Botnet ist wohlbekannt für seine E-Banking-Angriffe, die sich vor allem gegen kleine Unternehmen richten, die keine speziellen IT-Mitarbeiter haben. Der derzeit berüchtigtste ZBOT-Angriff schickte maßgeschneiderten Spam an die Angestellten mehrerer solcher kleinen Unternehmen. Die Spam-Nachrichten waren so aufgesetzt, dass sie legitim und nicht bösartig schiene, während sie doch eine Trojaner-Spyware enthielten, die darauf ausgerichtet war, Informationen und Identitäten zu stehlen.
2. Schwachstellen haben eine kritische Masse erreicht: Patch mich, wenn du kannst. Microsoft hat im Dezember 2008 mit 28 Patches für die eigenen Betriebssystemschwachstellen einen Rekord aufgestellt. Bereits im Juni 2009 brach der Anbieter mit dem Release von zehn Sicherheits-Advisories für 31 Betriebssysteme und weitere Software-Schwachstellen seinen eigenen Rekord. Was bedeutet das für die Anwender? Es bedeutet, dass nicht gepatchte Schwachstellen Cyberkriminellen Tür und Tor für Exploits öffnen. Beispielsweise können Kriminelle über nicht gepatchte Schwachstellen im Browser eines Systems beliebigen Code ausführen, wenn der User über eine bösartige Website browst. Damit begibt er sich in die Hände der Räuber.
3. FAKEAV: Übergabe hart erarbeiteten Geldes für betrügerische Sicherheit. FAKEAV hat das Web schon mehrere Male unter Druck gesetzt. Die meisten Angriffe nutzten eine „Scareware“-Taktik und zeigten einen Blue Screen oder gefälschte grafische Benutzerschnittstellen, um Anwender vor Infektionen zu warnen. Einige der gefährlicheren Varianten nutzten eine „Lösegeld“-Taktik. User, die einem FAKEAV-Angriff zum Opfer fallen, werden im Endeffekt nutzlose Anwendungen kaufen, oder sogar kritische Informationen preisgeben neben ihrem hart verdienten Geld. Bei einem Durchschnittspreis von 50 Dollar pro Stück wird klar, dass mithilfe von FAKEAV gutes Geld zu machen ist. Deshalb erwarten wir künftig noch mehr FAKEAV-Angriffe.
4. Erweitern Sie Ihren Freundeskreis doch hüten Sie sich vor KOOBFACE Malware. In diesem Jahr debütierte das KOOBFACE-Botnet, dass sich vor allem auf die Nutzer von sozialen Netzwerken und Micro-Blogging-Sites konzentriert. Facebook und Twitter, die beiden Top-Kontaktnetzwerke haben heute weltweit Millionen Nutzer und werden damit zum Lieblingsziel der Angreifer. Die Beliebtheit dieser Sites mag wohl nie da gewesene Dimensionen erreichen, doch die steigende Anzahl der Malware, die sie angreifen, steht diesem Erfolg nicht nach. Die Opfer der KOOBFACE-Varianten werden mit FAKEAV infiziert und enden als Teil des weitverbreiteten KOOBFACE-Botnets oder als Eigner von verseuchten Profilen – Sie können es sich aussuchen.
5. Besser ausgeklügelte Angriffe bedeuten mehr Opfer. Die Cyberkriminellen erhöhen ihre Ansprüche und verfeinern ihre Angriffe stetig, um mehr Opfer in ihre Fallen zu locken. Eine neue Variante der BEBLOH-Familie von Informationsräubern geht weit über das Loggen von Tastatureingaben und deren Weiterleitung an einen Server hinaus. Die Malware stahl Nutzerinformationen und verwendete sie sofort, um der Entdeckung zu entgehen. Die neueste BEBLOH-Variante erzeugt statische Seiten, die unveränderte Kontoauszüge zeigt, um die eigenen Spuren zu verwischen. Die Opfer entdecken den Diebstahl nur, wenn sie auf ihre Online-Banking-Site von einer nicht infizierten Maschine aus zugreifen.
6. Kein System ist gegen Sicherheitsangriffe gefeit, und ganz bestimmt nicht der Mac. Die Zeiten, als sich die Mac-Anwender vor den heutigen Bedrohungen sicher fühlen konnten, sind vorbei. Die jüngste Verbreitung von Mac-Angriffen ist ein Beweis für das, was die Sicherheitsforscher schon immer sagten, nämlich, dass kein System gegen Sicherheitsangriffe immun ist, schon gar nicht der Mac. Während die Zahl der Mac-Anwender stetig zunimmt, steigt unglücklicherweise auch die Zahl der Cyberkriminellen, die das Mac OS zum Ziel ihrer Angriffe erkoren haben. Sie strafen die gängige Ansicht, Macs seien sicher, Lügen.
7. Blackhat SEO Angriffe stürmen die Charts. Als seien die üblichen Blackhat SEO Techniken nicht durchtrieben genug, nutzen Cyberkriminelle jetzt neue raffinierte Gadgets – Google Trends und GeoIP Tracking – um ihre Chancen zu erhöhen, dass User auf Links klicken, die sie zu eigens zusammen gebastelten bösartigen Seiten leiten. Diese Art des Angriffs kann jeden treffen, der im Web nach Informationen sucht. Um sich zu infizieren, bedarf es lediglich eines Klicks auf ein Top-Ranking-Suchergebnis.

Falls Sie sich Sorgen darüber machen, Ihr Computer könnte von einer Cyber-Attacke betroffen sein, so nutzen sie das kostenlose Trend Micro Tool Housecall zur Vorsorge und zum Entfernen von Malware.