Originalartikel von Arabelle Mae Ebora, Fraud Analyst
Die Masche mit dem angeblichen Facebook Profile Viewer ist derzeit nicht der einzige Betrugsversuch über das soziale Netzwerk. Die Trend Micro-Sicherheitsexperten entdeckten einen weiteren Trick, mit dessen Hilfe Nutzer dazu verleitet werden sollen, ein falsches Plugin für den Adobe Flash Player herunterzuladen. Sie fanden unzählige Feeds auf eine Facebook-Seite mit mehr als 90 Millionen „Gefällt mir“-Klicks.
Weiterlesen
Originalartikel von Karla Agregado, Fraud Analyst
Die Wahrheit über den Facebook Profile Viewer ist einfach: Es gibt ihn nicht! Das aber bedeutet, dass die Frage „Willst du wissen, wer dein Profil angesehen hat?“ oder „Wer verfolgt dich?“ immer ein Trick ist, um den Benutzer dazu zu verleiten, sein Kennwort preiszugeben oder Spam zu verbreiten.
Weiterlesen
Originalartikel von Aisa Escober, Threat Response Engineer
Es hat keine 24 Stunden gedauert, bis die Cyberkriminellen die Explosionen während des Boston Marathon für ihre fiesen Zwecke missbraucht haben. Trend Micro zählte mehr als 9.000 Spam-Nachrichten, die das Blackhole Exploit Kit umfassten und die tragischen Ereignisse von Montag als Köder ausnützten.
Weiterlesen
Originalartikel von Jonathan Leopando, Technical Communications
m September 2012 brachten die Kriminellen eine neue Version des Blackhole Exploit Kits heraus. Seither hat es weitere Upgrades und neue Entwicklungen gegeben. Bereits Anfang Januar starteten sie eine neue Spam-Kampagne .
Weiterlesen
Originalartikel von Nart Villeneuve, Senior Threat Researcher
Kürzlich beschrieb Trend Micro einen Angriff über das öffentlich verfügbare Xtreme RAT-Tool auf Zielpersonen in Israel. Norman konnte nun diesen Angriff mit einer jahrelangen Kampagne gegen israelische und palästinensische Ziele in Zusammenhang setzen. Die Sicherheitsforscher von Trend Micro fanden heraus, dass die Angriffe noch immer laufen und dass die Ziele breiter gestreut sind als bisher angenommen.
Die Forscher fanden zwei E-Mails, die von {BLOCKED}a.2011@gmail.com am 8. und 11. November abgeschickt wurden und in erster Linie die israelische Regierung zum Ziel hatten. Die eine wurde an 294 Mail-Adressen geschickt und zwar mehrheitlich an “mfa.gov.il”, “idf.gov.il” und “mod.gov.il”. Doch gingen viele auch an Adressen der US-Regierung unter „state.gov“, “senate.gov”, “house.gov” sowie “usaid.gov”. Schließlich umfasste die Liste der Ziel-Adressen auch die Regierungen von Großbritannien (fco.gov.uk), der Türkei (mfa.gov.tr), Sloweniens (gov.si), Mazedoniens, Neuseelands und Lettlands. Zusätzlich waren die BBC (bbc.co.uk) und das Office of the Quartet Representative (quartetrep.org) betroffen.
Es liegen keine Informationen dazu vor, wie viele Adressaten die Mails tatsächlich erhalten haben und wie viele die schädlichen Anhänge möglicherweise geöffnet haben.
Die E-Mails haben eine ausführbare .RAR-Datei als Anhang, die sich als Dokument ausgibt.
Die Recherche ergab, dass die Malware mit einem ungültigen Zertifikat signiert ist. Wird die Datei ausgeführt, so öffnet sie als Köder ein Dokument und installiert Xtreme RAT auf den Zielsystemen. Der Schädling nimmt auch zu folgenden URLs Verbindung auf:
Der Köder enthält einen Artikel von DEBKA, einer Nachrichten-Webseite. Die Metadaten des Dokuments umfassen einen interessanten Hinweis:
Norman fand in den Metadaten Hinweise auf den Autor des Dokuments. Brian Krebs konnte einige der Aliase mit Veröffentlichungen in bestimmten Online-Foren in Verbindung bringen. Die Forscher bei Trend Micro konzentrierten sich auf „HinT“, weil sie schon vorher „hint“ in den C&C-Servern hint.{BLOCKED}o.org, hint1.{BLOCKED}o.org und hint{BLOCKED}.com als Teil der Kampagne entdeckt hatten.
Sie fanden heraus, dass die Domäne hint{BLOCKED}.org in einer Forumsveröffentlichung des Nutzers „aert“, ein weiterer Alias aus dem Dokument, genutzt wurde. Dieser Nutzer schrieb über eine Vielfalt an Schädlingen, einschließlich DarkComet und Xtreme RAT.
Auch schrieb „aert“ über den Austausch von Gütern und Dienstleistungen, doch letztendlich erhielt er wegen fehlenden Vertrauens negative Bewertungen innerhalb des Forums.
Die Bedeutung dieser Angriffe ist auch deshalb hoch einzuschätzen, weil sie einerseits eine erweiterte Zielgruppe betreffen und andererseits die Verbindung zu Hacker-Foren aufzeigen. Zudem veranschaulichen sie, dass Schädlinge „von der Stange“ auch sehr effektiv sein können, wenn sie für gezielte Angriffe eingesetzt werden.
Diese Kampagne scheint weit von ihrem Ende entfernt zu sein. Angesichts der breit gestreuten Ziele in verschiedenen Ländern liegen die Motive der Angreifer weitgehend im Dunkeln. Die Sicherheitsforscher beobachten und analysieren die Situation weiterhin.
Das Smart Protection Network schützt Trend Micro-Anwender vor dieser Gefahr, da die einzelnen Services dahinter die schädlichen Mail-Nachrichten und Dateien erkennen und blockieren.