Das KOOBFACE-Botnetz ist dafür berüchtigt, mit dem Pay-per-Install (PPI) und Pay-per-Click (PPC)-Geschäftsmodell Geld zu machen. Allein 2009 verdiente die Bande mehr als zwei Millionen US-Dollar. Doch das scheint nicht genug gewesen zu sein, denn die Kriminellen rüsteten ihr Botnetz-Framework mit einem ausgeklügelten Traffic Direction System (TDS) auf, das den Internet-Verkehr auf von ihnen angegebene Sites lenkt. Darüber hinaus fügten sie neue Komponenten hinzu, um die Menge des Internetverkehrs in Richtung ihres TDS zu steigern. TDS lenkt den Verkehr hauptsächlich auf Werbeseiten um, wofür die Kriminellen nach Anzahl der Clicks bezahlt werden. Folgende Schautafel zeigt die Schritte, über die TDS den Kriminellen Geld in die Kasse spült:

1. Erzeugen und Registrieren von E-Mail-Adressen: Nachdem KOOBFACE nicht länger automatisch Google-Konten für die bösartigen Aktivitäten erzeugen kann, sind die Kriminellen nun auf Yahoo! Mail-Konten umgestiegen, um so die benötigten Google-Konten zu kreieren.
2. Erzeugen von Konten in sozialen Netzwerken: Die von KOOBFACE generierten E-Mail-Adressen werden dafür genutzt, um sich bei sozialen Netzwerken wie Twitter, Tumblr, FriendFeed3, FC24, livedoor5, So-net6 und Blogger anzumelden. Einige Konten wurden auch in altervista.org7 generiert. Die vom Botnetz erzeugten Domänen der Blog-Konten enthielten Wörter wie „news“ oder „2011 news“.
3. Bilder sammeln: Das Botnetz wurde auch um eine neue binäre Komponente angereichert, die vor allem pornografische Bilder, Fotos von Berühmtheiten, Hochzeiten, Tattoes und Autos sowie Hintergrundbilder von Googles Image-Suche sammelt. Diese nutzen die Kriminellen dann in ihren Blog-Veröffentlichungen.
4. Erstellen von Blog-Veröffentlichungen: Die Bande missbraucht beliebte japanische Blogging-Plattformen wie FC2, Livedoor, So-net, Jugem und Cocolog. Daneben nutzen sie aber auch die bewährte Google Blogger-Site mithilfe einer darauf zugeschnittenen Schadsoftware-Komponente, die Blog-Konten generiert, während andere Inhalte oder Veröffentlichungen von dem Proxy C&C-Server abzieht. Diese Posts werden automatisch auf die Zielplattformen hochgeladen. Sie enthalten Bilder, Links und Schlüsselwörter, die dem SEO-Ranking der entsprechenden Sites zuträglich sind. Zusätzlich verbergen sie auch JavaScript-Code, der auf die TDS-Domäne des Botnetzes weist. So kann das TDS die Zahl der Besuche der einzelnen Blog-Veröffentlichungen nachverfolgen und die Besucher auf die gewünschten Sites umlenken. Das Botnetz verdient Geld mit den Umlenkungen und der Anzahl der Clicks der Opfer während des Lesens der Veröffentlichungen.
5. Links auf Posts mit möglichst vielen teilen: Die Bande erhöht den Verkehr zu den bösartigen Blog-Veröffentlichungen auch, indem sie aktiv Schlüsselwörter dazu im Web verteilt und besagte Posts über soziale Netzwerke bewirbt.

Mit TDS hat KOOBFACE ein exzellentes Mittel gefunden, um Star-Fans, Online-Daters, gelegentliche Porno-Surfer oder Autofans effizient anzusprechen und sie für ihre Zwecke einzuspannen.

Die KOOBFACE-Bande ist immer noch aktiv und wird auch weiterhin ihre Opfer suchen. Deren Zielplattformen sollten deshalb ihre Sicherheitsmaßnahmen verstärken, um durch Bots automatisierte Interaktion zu unterbinden.

Die Nutzer ihrerseits sind gut beraten, Sicherheitslösungen zu implementieren, die vor solchen Gefahren schützen können. Trend Micros Smart Protection Network schützt die Anwender auch vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service die Spam-Nachrichten blockiert, noch bevor sie die Inbox des Nutzers erreichen. Der Web Reputation Service wiederum verhindert den Zugriff auf bösartige Sites und Domänen, die Malware-infizierte Dateien enthalten.

Eine Alternative wäre, einen Webbrowser einzusetzen, der die mögliche Ausführung von JavaScript-Code verhindert. Das Problem dabei ist, dass damit auch „gutartiger“ Code von legitimen Websites blockiert wird.

Weitere Informationen zu den KOOBFACE-Strategien enthält das Whitepaper “More Traffic, More Money: KOOBFACE Draws More Blood”.

Originalartikel von Robert McArdle, Senior Threat Researcher

HTML5 stellt die fünfte Revision der am meisten verbreiteten Markup-Sprache für die Erstellung von Webseiten dar. Es handelt sich dabei nicht um ein Upgrade, wie man es üblicherweise kennt, sondern um eine ganze Reihe von Features, jedes mit unterschiedlicher Browser-Unterstützung. Zu den wichtigsten Neuerungen gehören eine Grafikbibliothek, einfachere Unterstützung von multimedialen Inhalten, Geolocation, Drag & Drop-Funktionalität sowie Web-Benachrichtigungen. So mächtig die Neuerungen auch sind, so gefährlich können sie den Nutzern werden. Denn sie bieten nicht nur den Web-Entwicklern neue Möglichkeiten, sondern auch der kriminelle Untergrund wird sie für seine bösen Zwecke missbrauchen.

Die größte Bedrohung, die über HTML5 entsteht, sind BITB (Botnets In The Browser). Angreifer sind mit HTML5 in der Lage, ein Botnet zu erzeugen, das auf jedem Betriebssystem, überall auf jedem Gerät funktioniert. Es läuft vorwiegend im Hauptspeicher und berührt daher die Platte kaum. Somit ist es für traditionelle dateibasierte Antivirus-Programme schwierig, es zu entdecken. Auch lässt sich JavaScript einfach verschleiern, sodass auch Netzwerk IDS-Signaturen sich mit diesen BITB schwer tun. Schließlich ist das Botnet webbasiert, kommt also durch die meisten Firewalls leicht durch.

Schritte einer Browser-basierten Botnet-Attacke

Infektion: Das System eines Nutzers wird infiziert, indem er dazu verleitet wird, das ursprüngliche JavaScript auszuführen. Es gibt viele Wege, dies zu tun, einschließlich XSS, Anklicken eines Links in einer Mail oder Instant Message, Blackhat Search Engine Optimization (SEO), Social Engineering, Kompromittieren eine Website oder andere Methoden mehr.

Persistenz: Ein Browser-basiertes Botnet ist von Natur aus nicht so beständig wie ein traditionelles. Sobald ein Opfer den Browser-Tab schließt, stoppt auch der bösartige Code. Dies muss ein Angreifer im Hinterkopf behalten, und die Aufgaben, die er einem BITB zuweist, der eher flüchtigen Natur der Botnet-Knoten anpassen. Wichtig ist dabei, dass Systeme einfach neu infiziert werden können, deshalb eignen sich persistente XSS als Angriffsvektoren besonders gut. Auch die Kombination aus Clickjacking und Tabnabbing stellen einen möglichen Ansatz dar. Clickjacking wird dazu genutzt, um ein Opfer zu zwingen, eine weitere Webseite zu öffnen, die exakt denselben Inhalt wie die ursprüngliche hat. Dabei merkt das Opfer nicht, dass der bösartige Tab im Hintergrund läuft. Um das Leben dieses Tabs zu verlängern, kann ein Angreifer die Technik des Tabnabbings nutzen. Damit maskiert er den ursprünglichen Tab und die Seite als eine häufig genutzte Seite wie Google oder YouTube. Eine sogar noch einfachere Form der Beständigkeit besteht darin, die bösartige Seite als interaktives Spiel darzustellen. Idealerweise ist das Spiel dann so aufgebaut, dass der Nutzer es den ganzen Tag über geöffnet hält und immer wieder darauf zurückgreift, um neue Aufgaben durchzuführen.

Payload: Ein solcher Angriff kann in verschiedene Möglichkeiten münden:

• DDoS-Attacke: Der Web Worker kann Cross Origin Requests nutzen, um Tausende von GET-Anfragen an eine Ziel-Site zu schicken, sodass es zu Denial of Service kommt.
• Spamming: Schlecht konfigurierte Web-Formulare auf den „Contact Us“-Seiten können zur Erzeugung von Spam genutzt werden.
• Bitcoin-Erzeugung: Bitcoins stellen die beliebteste Währung des cyberkriminellen Untergrunds. Es gibt bereits etliche Browser-basierte Bitcoin-Generatoren.
• Phishing: Mithilfe des Tabnabbing-Ansatzes kann ein Angreifer das Aussehen eines bösartigen Tabs jedes Mal ändern, wenn dieser nicht mehr im Fokus ist. Das heißt, jedes Mal, wenn das Opfer zu diesem Tab zurückkehrt, erhält er ein Login eines anderen Dienstes. Somit ist der Angreifer in der Lage, die Login-Daten abzugreifen.
• Interne Netzwerkerkundung: Mit dieser Technik kann ein Angreifer nach Sicherheitslücken oder die Ports im Netzwerk eines Opfers scannen.
• Verwendung eines Netzwerks als Proxy: Mit demselben Ansatz, den die Shell des Future-Tools verwendet, erlaubt es ein Netzwerk kompromittierter Systeme einem Angreifer, dieses als Proxy für Attacken und Netzwerkverbindungen zu nutzen, sodass deren Verfolgung schwieriger wird.
• Verbreitung: Kriminelle können eine Wurmkomponente ins Botnet einfügen, die sich über XSS-Angriffe oder SQL Injection auf angreifbaren Sites verbreitet.

Dies stellt eine bemerkenswerte Möglichkeit im Arsenal von Angreifern dar und wird sicherlich bald häufiger eingesetzt werden, vor allem bei gezielten Attacken. Herkömmliche Sicherheitsmaßnahmen gegen Malware können diese neuen Angriffsvektoren nicht abwehren, doch gibt es zwei kostenlose Tools, die einen sehr guten Schutz bieten.

NoScript: Das Browser Plugin ist unter Fachleuten bereits gut bekannt. NoScript schränkt die Funktionsweise von JavaScript und anderen Plungins auf nicht vertrauenswürdigen Seiten ein.

BrowserGuard: Trend Micros eigenes Tool umfasst eine Reihe von Funktionen, um webbasierte Angriffe abzuwehren. Dazu gehören unter anderem fortschrittliche heuristische Techniken.

In dem ausführlichen Whitepaper HTML5 Overview: A look at HTML5 Attack Scenarios finden Interessierte alle Informationen zu den Neuerungen in HTML5 und auch den damit einhergehenden Gefahren.

In letzter Zeit sind Angriffe auf Java-Sicherheitslücken wieder stärker in den Mittelpunkt der Aufmerksamkeit gerückt. Letzte Woche beschrieb der Sicherheits-Blogger Brian Krebs, wie Exploit-Pakete Java nutzen. Auch zitierte er Microsoft, die vor einer „noch nie da gewesenen Welle“ der Java-Exploits gewarnt hatten.

Die Security Researcher von Trend Micro bestätigen ebenfalls die steigende Nutzung von so genannten FAKEAV Brückenseiten, die Java-Lücken ausnutzen. Diese Technik setzt Blackhat Engine Optimizaton (SEO) ein, um infizierte Seiten als “Türöffner” (Doorways) für die Verteilung von FAKEAV zu benutzen. Wo diese Schwachstellen nicht ausgenutzt werden können, werden PDF-Exploits stattdessen herangezogen. Trend Micro hat besagte PDF- und Java-Exploits als TROJ_PIDIEF.HLL beziehungsweise JAVA_LOADER.HLL identifizieren können.
Analysen der mit FAKEAV in Verbindung stehenden Brückenseiten zeigen, dass die bösartigen URLs, welche die Payloads hosten (Java- und PDF-Exploits) entweder das Seo Sploit Pack oder das Phoenix Exploit Pack nutzen. Außerdem wird die tatsächliche Payload nicht in den Brückenseiten gehostet. Die am Ende stehende URL ist das Ergebnis einer Reihe von Weiterleitungen, die von den Brückenseiten ausgehen. Diese Weiterleitungen ändern sich regelmäßig und bestimmen, wo sich die nächste Payload-URL befindet.

Zwei Sicherheitslücken werden auf diese Weise besonders häufig missbraucht:

• CVE-2008-5353
• CVE-2009-3867

Doch dies ist nicht die einzige Art, wie FAKEAV neuerdings in Erscheinung tritt. Browser-spezifische Payloads und Seiten sind nicht neu, doch werden diese Seiten immer mehr „aufgemöbelt“. Die Abbildungen zeigen zwei Beispiele dieser Art von Seiten – eine für den Internet Explorer und eine weitere für Firefox:

Beide Seiten ahmen die tatsächliche Schnittstelle der beiden Browser perfekt nach. Im Fall von Firefox ist nicht nur das Site-Design perfekt sondern auch die Browser-Version für ein bestimmtes System ist richtig. Damit werden Nutzer noch einfacher in die Irre geführt.

Die gefälschten Viren-Alerts selbst sind auf zwei Arten weiter entwickelt worden. Online-FAKEAV-Varianten verstecken ihren Code sehr gut und nutzen AES, um ihn zu verschlüsseln. Lokale FAKEAV-Varianten wiederum setzen auf Audio-Warnungen als Teil ihrer Verhaltensweise. Die Hauptschnittstelle hat sich nicht wirklich geändert, aber es gibt einen neuen Icon für die „Pille“.

Alle diese Entwicklungen deuten darauf hin, dass die Kriminellen hinter der gefälschten Antivirus-Software ihre Techniken weiter entwickeln, auch wenn sie nicht im Scheinwerferlicht stehen. Die Anwender der Trend Micro-Produkte sind über das Smart Protection Network vor diesen Gefahren geschützt, denn die Sicherheitsinfrastruktur erkennt mithilfe der Reputationsdienste die bösartigen Sites und Dateien, bevor diese das System des Nutzers erreichen.

Infizierte Links in Ergebnissen der Suchmaschinen sind mittlerweile nichts Neues mehr. Doch nun haben die Cyberkriminellen auch Bookmarking Sites wie Digg und Reddit als Ziel dieser Art des Angriffs entdeckt. Der britische Nachrichtendienst The Register berichtete über die erfolgreiche Manipulation von Abstimmungen durch einen Blackhat SEO-Experten in Reddit, um möglichst viel Verkehr auf seine eigenen Blog-Einträge umzuleiten.

Der Angriff auf Reddit scheint relativ einfach und reduziert sich im Grunde genommen auf das Erzeugen mehrere neuer Konten, die für einen bestimmten Artikel stimmen, den der Spammer eingestellt hat. Im aktuellen Fall hatte er diesen Prozess automatisiert. Die einzige dabei erforderliche manuelle Aktion bestand in der Lösung von CAPTCHAs für die neuen Konten. Solche Angriffe lassen sich natürlich nicht mit jeder Art von Content starten. Die Inhalte müssen für Reddit-Nutzer interessant und gut genug sein, damit sie auch „auf natürliche Weise“ dafür stimmen. Anderenfalls würde der Link schnell entdeckt, im Ranking herabgestuft oder gar von der Seite eliminiert werden.

Diese Art der Optimierungstechniken sind nützlich, um Artikeln einen schnellen Anschub zu verschaffen, doch danach stoßen sie an ihre Grenzen. Ausgeklügeltere Angriffe beziehen im Ranking hoch eingestufte Nutzer auf diesen Webseiten mit ein, denn deren Stimme hat mehr Einfluss. Sie lassen sich auch in Verbindung mit konventionellen SEO-Taktiken anwenden. Ein Link von Digg und Reddit auf eine andere Site verbessert deren Ranking bei Google, doch zu Marketingzwecken können weitere SEO-Methoden auch das Ranking einer Drittseite erhöhen.

Als alleinige Angriffsmethode droht Nutzern dadurch kein direkter Schaden. Die Besitzer von Sites wie Digg oder Reddit sind die eigentlich Geschädigten, denn ihr Ruf steht auf dem Spiel. Es ist ähnlich wie in Facebook, wo angebliche Links zu sensationellen Neuigkeiten oder kostenlosen Angeboten unweigerlich zu Umfragen führen. Der Nutzer hat dabei keinen direkten Schaden, doch das „Ökosystem“ ist damit beschädigt.

Doch können sehr wohl auch Cyberkriminelle die Methoden nutzen. KOOBFACE beispielsweise ist bekannt dafür, Social Engineering-Taktiken einzusetzen, um Nutzer dazu zu verführen, auf Links zu klicken. Grundsätzlich kann jede Site, wo Nutzer Inhalte austauschen, oder jede soziale Networking Site missbraucht werden – auch wenn auf diesem Weg bislang noch keine Schadsoftware verteilt wurde. Die Werkzeuge und Methoden dafür gibt es bereits.

Beim Entpacken eines in einer bösartigen PDF-Datei versteckten JavaSkripts erhielten die Security Researcher von Trend Micro folgende Google-Suchergebnisse für “JavaScript Unpacker”:

Eine der in den Ergebnissen aufgeführte JavaScript Unpacker Sites war infiziert, und wahrscheinlich als Teil einer Blackhat SEO-Kampagne (Search Engine Optimization) landete man schließlich auf einer Seite, die als FAKEAV-Warnung diente.

Die übliche darauf folgende FAKEAV-Routine schloss mit einer Meldung, das System des Opfers sei infiziert worden.

JavaSkript Unpacker werden sehr häufig von professionellen Nutzern, vor allem Security Researchern, eingesetzt. Deshalb ist es eigentlich nicht zu verstehen, wozu eine solche Site infiziert werden sollte. Es ist sehr unwahrscheinlich, dass die Besucher auf den FAKEAV-Schwindel hereinfallen.

Die Anwender von Trend Micro-Produkten sind vor dieser Art von Angriffen über das Smart Protection Network geschützt, denn diese Sicherheitsinfrastruktur blockiert über den Webreputationsdienst die in den Angriff involvierten Website, erkennt auch die FAKEAV-Varianten und verhindert deren Download auf die Systeme der Anwender.

Wie zu erwarten war, nutzen Kriminelle den zweifelhafte Berühmtheit von Stuxnet als Mittel, um bösartigen Code zu verbreiten. Der Senior Threats Researcher Ivan Macalintal hat diesbezüglich infizierte Suchergebnisse gefunden. Einige der Suchanfragen dieser Blackhat SEO-Kampagne (Search Engine Optimization) enthielten unter anderen die Schlagwörter “stuxnet SCADA”; “stuxnet removal tool,” “stuxnet cleanup,” “stuxnet siemens” oder “stuxnet worm” und erschienen als Top-Ergebnisse. Eine der manipulierten URLs ({BLOCKED}lo-canada.org/2008/stuxnet.html) leitet die Nutzer auf Websites, die Sicherheitslücken ausnützt, wie sie die „Common Vulnerabilities and Exposure“-Datenbank unter CVE-2010-0886 und CVE-2010-1885 beschreibt. Andere bösartige Suchergebnisse leiten Nutzer auf Websites mit PDF- und SWF-Exploits um.

Prinzipiell führen die Ergebnisse zu verschiedenen Payloads, die einen Downloader enthalten, der andere Schädlinge auf dem Nutzersystem installiert, oder eine FAKEAV-Variante (TROJ_FAKEAV.SMZU).

Ein weiteres Beispiel dieser Kampagne ist eine bösartige URL, {BLOCKED}l.com/loja/media/stuxnet.html, die sich als Youtube-Seite tarnt und zu einem Schädling (TROJ_CODECPAY.AY)  führt.

Bereits in der Vergangenheit nutzten Cyberkriminelle bekannte Sicherheitsbedrohungen wie Conficker für ihre hinterhältigen Zwecke.

Trend Micro rät Nutzern, die an Informationen zu Stuxnet interessiert sind, diese nur von vertrauenswürdigen Seiten abzurufen. Informationen zu Stuxnet gibt es auch auf unserem Blog, etwa „USB-Wurm nutzt Windows Shortcut-Schwachstelle aus“.

Anwender von Trend Micro-Lösungen sind vor der beschriebenen Gefahr über das Trend Micro Smart Protection Network geschützt. Denn dessen Webreputationsdienst verhindert den Zugriff auf die infizierte Site.

FAKEAV-Malware wird mittlerweile wie als ganz normales Geschäft betrieben, und das trotz der hohen Aufmerksamkeit von Seiten der Medien. Trend Micro-Sicherheitsforscher haben drei wichtige Aspekte – nämlich Social Engineering-Techniken, FAKEAV-Techniken und das Geschäft mit der Malware — untersucht, um herauszufinden, warum diese berüchtigte Malware sich so hartnäckig behaupten kann.

Social Engineering stellt die überwiegend genutzte Technik für die Weiterentwicklung böswilliger Aktivitäten dar, sowohl online als auch offline. FAKEAV ist ein gutes Beispiel für eine Online Social Engineering-Erfolgsstory. Die Malware nutzt menschliche Schwächen aus und setzt Techniken wie „Black Hat“ Search Engine Optimization (SEO) ein, um Nutzer auszutricksen.

Hinter professionell wirkenden Benutzerschnittstellen, störenden Pop-ups und sonstigen Scareware-Taktiken von FAKEAV steckt eine einfache Technologie. Man kann daher sagen, dass die FAKEAV-Technik eher trickreich als komplex ist. Aber ungeachtet der Einfachheit der Technik spielt sie eine erfolgskritische Rolle für die Social Engineering Malware-Taktik.

Natürlich ist eine böswillige Kampagne sinnlos, wenn sie den Betreibern nichts bringt. Im FAKEAV-Geschäft geht es um hohe Einsätze, denn neben den 40 bis 100 Dollar, die die Nutzer als Preis für eine Schwindelsoftware zahlen, geht es vor allem um Informationsdiebstahl.

Weitere Einzelheiten zu den Aspekten gibt es im Security Spotlight Artikel “Why FAKEAV Persists”.

Nutzer tun im Internet regelmäßig  zwei Dinge: Sie sehen sich Videos an und nutzen die Suchmaschinen. Für die Bedrohungslandschaft heißt dies Blackhat SEO-Angriffe (Search Engine Optimization), nachgebaute bösartige YouTube-Seiten und seit Kurzem Angriffe, die beide Taktiken nutzen.

Die Sicherheitsforscher von Trend Micro stießen kürzlich auf eine Attacke, die Suchergebnisse für Zeichenketten wie Videos der Reality-TV-Berühmtheit Teresa Guidice oder der britischen Schauspielerin Holly Davidson sowie von der Ölkatastrophe im Golf von Mexiko nutzte, um die User auf gefälschte YouTube-Seiten zu locken, wo dann die allzu bekannte Warnung einer angeblichen Malware-Infektion auftauchte.

Die Ergebnisse sind kompromittierte Sites, die Suchwörter enthalten, mit denen die User darauf gelockt werden können.

Die Analysten fanden eine weitere Änderung, und zwar in Form der Kombination von Blackhat SEO und einer wohlbekannten Malware-Technik. Die Suchergebnisse des Strings “Mel Gibson tapes” leiten nicht auf Seiten mit falschen Infektionswarnungen, sondern zu einer Aufforderung, den Adobe Flash Player Installer herunter zu laden:


Nutzer sollen glauben, sie seien zu einem Video weiter geleitet worden und müssen nur den Adobe Flash Player installieren, um es anzusehen.Laut  Marco Dela Vega, Threat Response Engineer bei Trend Micro, haben die Cyberkriminellen ein gutes Auge für Details. Denn sie haben nicht nur eine überzeugende Schnittstelle für den gefälschten Adobe Installer erstellt, sondern auch eine URL verwendet, die sehr überzeugend als Link zur Adobe Site wirkt.

Dies ist eine bemerkenswerte Änderung, denn die Blackhat SEO-Angriffe sind eigentlich nur dafür bekannt, FAKEAV-Varianten zu vertreiben. Die Angriffe nutzen auch nicht mehr allein die Beliebtheit großer News aus. Sie werden täglich gestartet und vergiften Suchläufe und erzeugen Malware.

Die für besagte Angriffe genutzte Malware wurde als TROJ_FAKEAV.MVA beziehungsweise WORM_UTOTI.Y identifiziert.

Die Sicherheitsanalysten von Trend Micro erforschen diese Angriffe bereits länger und wir haben des öfteren darüber berichtet, etwa „Neue Blackhat SEO Techniken“ oder im Whitepaper Unmasking FAKEAV.

With the continuing rampancy of blackhat SEO attacks, users are advised to be extremely cautious when conducting searches.

Das Smart Protection Network liefert einen mehrschichtigen Schutz gegen Blackhat SEO-Angriffe, denn der Web Reputation Service blockiert die bösartigen Links und der File Reputation Service erkennt bösartige Dateien.

Bei Untersuchungen zu Blackhat Search Engine Optimization (SEO) stießen die Sicherheitsforscher von Trend Micro auf einen SEO-Angriff in dem beliebten Dokumenten-Sharing Portal Scribd. Nutzer können hier Dokumente hochladen und mit anderen Personen teilen.

Das Dokument, dass die SEO-Zeichenketten und Links enthält, war eine PDF-Datei, die auf Scribd hochgeladen worden war.

Die weitere Recherche ergab, dass das Nutzerkonto, in dem die Datei hochgeladen worden war, sehr aktiv PDF-Dateien für Blackhat-Angriffe hochlud – bis dato sind es 3.003 solcher Dateien, seitdem das Konto vor 26 Tagen erzeugt wurde.

Das Anklicken eines jeden Links führt auf eine Site, die speziell darauf ausgerichtet ist, Werbung zu hosten oder zu verlinken. Die Site an sich ist nicht bösartig, denn sie initiiert keine Drive-by-Downloads oder verursacht auch keine automatischen Umleitungen. Doch ein Link , der auf eine Viagra Spam-Site und auf bösartige FAKEAV-Links führt, zeigt die tatsächliche Ausrichtung.

Dieser SEO-Pfad zeigt zwei beunruhigende Blackhat SEO-Trends – die Nutzung von anderen Dokumentenformaten als HTML, um SEO-Seiten zu erzeugen, sowie die Nutzung von Dokumenten-Sharing-Sites, um nicht HTML-Blackhat-Angriffe zu hosten.

Die Anwender von Trend Micro Produkten sind über das Smart Protection Network gegen diese Art des Angriffs geschützt.

Internet-Nutzer müssen sich mittlerweile damit auseinandersetzen, dass alles, was ihnen im Web begegnet auch Betrug sein kann, einschließlich angeblicher Antivirus-Software. Trend Micros „Threat Encyclopedia“ umfasst mittlerweile mehr als 2000 Einträge zu FAKEAV.

Viele naive Nutzer fallen immer noch auf den uralten Trick der Scareware-Taktik der Anbieter der gefälschten Antivirensoftware herein: Die Opfer sollen glauben, ihre Systeme seien mit Schadsoftware infiziert und sollen aus Angst vor den Folgen dieser Gefahr für etwas zahlen, was sich als vollkommen unnütz entpuppt.

Die Techniken, die die Cyberkriminellen nutzen, entwickeln sich alarmierend schnell weiter, um ihre FAKEAV-Kreationen an unwissende Nutzer zu bringen. Häufig greifen sie auf „vergiftete“ Suchergebnisse zu den gerade populärsten Themen zurück oder auf Spam-Nachrichten, die bösartige URLs oder Dateianhänge enthalten. Der Verbreitung von FAKEAVs scheinen keine Grenzen gesetzt zu sein. Die verschiedenen Varianten versuchen aus allen wichtigen Nachrichten in der Welt Profit zu schlagen – jeden Tag erscheinen Hunderte neuer gefälschter AV-Domänen.

Infizierte Nutzer werden über FAKEAV nicht nur betrogen, sie werden auch zu direkten Teilnehmern in Botnetzen und unterstützen somit die weitere Verbreitung der Schadsoftware. FAKEAVs überlassen nämlich ihre Verbreitung den Botnetzen, sodass sich die Cyberkriminellen auf die Entwicklung von immer effizienteren Einschüchterungstaktiken und Pay-per-Install-Modellen konzentrieren können. Auf diese Weise haben sie sich mit anderen Cyberkriminellengruppen zusammengeschlossen, etwa den KOOBFACE-  und BREDOLAB-Banden, und ein sehr lukratives Geschäftsmodell entwickelt.

Nutzer sollten immer im Hinterkopf behalten, dass FAKEAVs nur einem einzigen Zweck dienen, nämlich dem Profit der Cyberkriminellen auf Kosten der Nutzer. Dies ist auch der Grund, warum diese Schadprogramme immer weiter entwickelt werden und in vielfältiger Weise ausgeliefert werden – sogar in die iPhones haben sie ihren Weg gefunden.

Dennoch ist es nie zu spät, vorsichtig zu sein und lediglich vertrauenswürdige Sites für Updates zu nutzen. Auch sollte man vermeiden, auf verdächtig erscheinende URLs zu klicken sowie Dateianhänge zu öffnen oder gar herunter zu laden, vor allem wenn sie von unbekannten Absendern kommen. Schließlich können sich Nutzer mit Software schützen, die auf Reputation setzt, wie Trend Micros Smart Protection Network. Damit sind die Anwender vor FAKEAV-bezogenen Infektionen sicher, denn das intelligente Netzwerk blockiert über die Mail-Reputationstechnologie Spam-Nachrichten, hindert Nutzer mithilfe der Webreputation daran, auf bösartige Websites zuzugreifen und entdeckt über die Dateireputationstechnologie bösartige Dateien.