Smartphones erfreuen sich wachsender Beliebtheit. Eine von Google in fünf Ländern durchgeführte Umfrage beweist dies: In Deutschland etwa stieg die Zahl der Smartphone-Besitzer von Januar 2011 bis Oktober um fünf Prozent auf insgesamt 23 Prozent der Bevölkerung.
Entsprechend diesem Trend nehmen auch die Gefahren für die mobilen Geräte zu. Mittlerweile gelten für die Mobilgeräte und Tablets dieselben Gefährdungsszenarien wie man sie aus der PC-Welt kennt. Die folgenden fünf Angriffsmuster zeigen die Ähnlichkeiten auf:

• Vor mehr als fünf Jahren nutzten Cyberkriminelle umkonfigurierte Modems, um Bezahldienste und Ferngespräche für ihre Zwecke zu nutzen. Heute versucht mobile Schadsoftware häufig, Nutzer dazu zu verleiten, solche Bezahldienste zu abonnieren.
• Etwa zwanzig Jahre lang verbreiteten vor allem Viren Angst und Schrecken, danach waren es Würmer, und heute sind es in erster Linie Trojaner-Downloader für den einmaligen Gebrauch. All diese Mittel hatten nur ein Ziel, die Opfersysteme möglichst dauerhaft zu infizieren und zu kompromittieren. Auf den mobilen Plattformen gibt es bereits Trojaner für den Datendiebstahl, die sich als nützliche App tarnen und im Stillen Daten sammeln und weiterleiten.
• Mehrstufige und zwischen PC und mobilen Geräten wechselnde Bedrohungen gibt es bereits. Einige Varianten des Bank-Schädlings ZeuS überwacht den PC und die Online-Transaktionen. Entdeckt er eine Anfrage für eine zweite Ãœberprüfung schickt er einen Facebook-Link an das Smartphone des Opfers, um so Daten abzuziehen und einen vollständigen Zugriff auf die Online-Finanzdaten zu erhalten.
• Fast jeder Nutzer empfängt in der einen oder anderen Form E-Mails auf seinem Mobilgerät, die im Prinzip die Aktivitäten auf dem Desktop widerspiegeln. Daher sind auch diese Mails denselben Phishing- und Spam-Attacken ausgesetzt wie auf dem PC.
• Von Exploits und Angriffen wie Man-in-the-Middle und solche auf SSL-Verbindungen ist in Verbindung mit PCs immer wieder die Rede. Da heutige Smartphones viel schneller sind als die „alten“ PCs, kleinere Bildschirme haben, und es keine „ausgewachsenen“ Werkzeuge gibt, die erforschen können, was im Hintergrund läuft, merken die Nutzer von Tablets oder Smartphones meist nicht, wenn sie angegriffen werden.

Im Zuge der BYOD (Bring-Your-Own-Device)-Strategien kommen die mobilen Geräte in die Unternehmen. Doch werden sie nicht mit derselben Sorgfalt gesichert wie PCs, Laptops oder Desktops, deren Nutzung von Policies und Richtlinien geregelt wird.

Um nicht zum Opfer zu werden, ist Nutzern dringend zu empfehlen, auch ihre mobilen Geräte mit Anti-Malware- und Content-Filtering-Lösungen zu schützen. Ebenso wichtig ist es , die Firmware und die mobilen Apps auf aktuellem Stand zu halten. Weitere Gedanken und Tipps zum Thema bieten die Einträge: „Die Gefahr durch Android-Malware wächst auch 2012“ sowie „2011 in Review: Mobile Malware“.

Kürzlich ist eine Stack-basierte Buffer Overflow Schwachstelle in Microsoft Office missbraucht worden. Nun hat Trend Micro die RTF-Datei des Exploits als TROJ_ARTIEF.SM identifiziert.

Die bösartigen Dateien umfassen Shell-code, der darauf ausgerichtet ist, den Stack zum Überlaufen zu bringen und einen Crash von Microsoft Word zu verursachen. Als Folge könnten böswillige Nutzer Zufallscode auf den betroffenen Systemen ausführen.

Auch hinterlässt die Schadsoftware eine weitere bösartige Datei, die Trend Micro als TROJ_INJECT.ART identifiziert hat. Eine der ernsten Gefahren dabei ist, dass ein Nutzer mit bösen Absichten eine RTF-Mail an andere schicken kann. Aufgrund der Tatsache, dass Microsoft Outlook das Programm Word verwendet, um E-Mails zu handlen, genügt das Öffnen oder Ansehen von speziell erzeugten Nachrichten im Lesefenster, um den Exploit auszuführen.

Microsoft hat bereits ein Update für obige Schwachstelle veröffentlicht. Die Nutzer sollten dieses MS10-087 unbedingt herunter laden und installieren.

Bereits vor fast zwei Monaten hatte Trend Micro eine vollständige Analyse der Datei-Patching  ZeuS-Varianten veröffentlicht (siehe auch Whitepaper File-Patching ZBOT Variants: ZeuS 2.0 Levels Up). Doch nun gibt es ein neues LICAT-Sample, das mit seinem Command-and-Control Server über eine pseudo-zufällige Domäne kommuniziert. Diese Domäne war bei den vom ursprünglichen Algorithmus erzeugten nicht dabei, und deshalb analysierten die Sicherheitsforscher die Variante.

Die Analyse zeigte, dass das neue Muster immer noch alle ursprünglichen Routinen des Original-LICAT-Musters hatte. Beispielsweise generiert es pro Tag dieselbe Anzahl Domänen und nutzt dieselben Top-Level-Domänen. Dennoch gibt es einen entscheidenden Unterschied im Code der beiden Varianten: ein anderer XOR-Schlüssel wird verwendet. Die neue Variante nutzt 0xDEADC2DE als Schlüssel, während das Original 0xD6D7A4BE einsetzt:

Außerdem setzt die neue Variante auch mehrere Schlüssel ein. Während der Code zur Domänengenerierung der Original-LICAT-Variante denselben XOR-Schlüssel zweimal nutzte – einmal für den Ort, wo seine Konfigurationsdatei lagert und ein zweites Mal, für den Ort, wo aktualisierte Varianten automatisch heruntergeladen werden können – setzt die neue Variante unterschiedliche Schlüssel ein. Sie haben auch nicht dieselben Werte wie das Original. Damit verdoppelt sich die Anzahl der Domänen, die von den Forschern überwacht und blockiert werden muss.

Trend Micro geht davon aus, dass noch mehr LICAT-Varianten mit verschiedenen XOR-Schlüsseln in der nächsten Zeit auftauchen werden. Die neue Variante hat Trend Micro als PE_LICAT.B-O identifiziert und die gepatchten Dateien als PE_LICAT.B. Wie bereits erwähnt, unterscheidet sich ihr Verhalten nicht von dem der PE_LICAT.A-Variante.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network geschützt, denn die Sicherheitsinfrastruktur erkennt dank des Dateireputationsdienstes den Schädling und kann damit entsprechend umgehen.

Microsoft hat kürzlich ein Security Advisory zu einer Sicherheitslücke im Internet Explorer veröffentlicht. Diese Schwachstelle, die die ferngesteuerte Codeausführung ermöglicht, betrifft den Internet Explorer 6, 7 und 8 und wird durch eine nicht valide Flag-Referenz im Browser verursacht. Sie wurde ursprünglich auf einer einzigen Website gefunden, die mittlerweile vom Netz genommen ist.

Die Trend Micro-Researcher haben ein Sample des Exploits für besagte Sicherheitslücke analysiert und die Hauptseite, die für die Lieferung des Exploits zuständig ist, als HTML_BADEY.A identifiziert. Diese Seite lädt einen Backdoor (BKDR_BADEY.A) herunter, der wiederum verschiedene verschlüsselte Dateien herunterlädt. Die Dateien enthalten Befehle, die der Backdoor ausführt.

Alles deutet darauf hin, dass weitere Angriffe folgen werden. Die Trend Micro-Experten haben ein neues Hacking-Werkzeug (HKTL_ELECOM) entdeckt, mit dessen Hilfe Cyberkriminelle Seiten generieren können, die den JavaScript-Code enthalten, der die Sicherheitslücke ausnützt. Weil damit Angriffe einfacher werden, gehen die Experten davon aus, dass diese Attacken sich weiter verbreiten.

Noch ist ungewiss, wann Microsoft die Schwachstelle schließt, doch können sich Anwender selbst vor den Angriffen schützen. Die Beta-Version des Internet Explorer 9 ist von der Lücke nicht betroffen, so dass es ratsam ist, die eigenen Browser auf diese Version zu aktualisieren. Weitere Schritte, um sich vor der Gefahr zu schützen, beschreibt das Advisory, doch die meisten dieser Maßnahmen (wenn nicht alle) führen dazu, dass Websites nicht korrekt geladen werden.

Die von Microsoft empfohlenen Schritte zwingen zum Einsatz eines User-spezifischen CSS Style Sheet, das die Formatierung der Site stört. Außerdem müssen sie Scripting deaktivieren – und damit viele Webseitenfunktionen. Anwender können auch prüfen, ob Data Execution Prevention (DEP) aktiv ist, denn dadurch wird das Schadenpotenzial jedes Exploits reduziert. Auch dies beschreibt das Advisory.

Trend Micro-Anwender sind , über das Smart Protection Network gegen diese Gefahr geschützt. Zudem können Nutzer das kostenlose Addon Browser Guard für den Internet Explorer herunterladen. Dieses Tool schützt gegen IE-Schwachstellen.

Die offizielle Website des Friedensnobelpreises ist infiziert worden. Das ist an sich schon schlimm genug, doch kommt hinzu, dass die Kriminellen für ihren Angriff eine Zero-Day-Schwachstelle im Mozilla Firefox-Browser ausgenützt haben. Mozilla bestätigte auf dem eigenen Blog die Sicherheitslücke  und versprach einen Patch dafür, sobald dieser ausgetestet ist. Besagte Lücke ermöglicht einen so genannten „Drive-by Download“, wobei eine bösartige Datei herunter geladen und ausgeführt wird, ohne dass der Nutzer dies mitbekommt.

Die Nobel-Site wurde mit einem bösartigen PHP-Skript kompromittiert, das die Threat Researcher als JS_NINDYA.A identifiziert haben. Aus irgendeinem Grund schränkte der Kriminelle den Wirkungsgrad des Angriffs ein. Mithilfe von Browser-Headern prüft der Exploit sowohl die Version von Firefox als auch die des genutzten Betriebssystems. Mozilla zufolge betrifft die Sicherheitslücke die Versionen Firefox 3.5 und 3.6, doch zielte der Angriff lediglich auf die neueren Version 3.6. Außerdem sind Systeme mit einer neueren Windows-Version (wie Vista, Windows 7, Server 2008 und Server 2008 R2) nicht betroffen.
Der Exploit lädt einen Backdoor (BKDR_NINDYA.A) auf das System des Nutzers, der Verbindung zu einem Command & Control-Server aufnimmt. Zu den von dort erhaltenen Befehlen gehört das Herunterfahren des Opfersystems aber auch das Löschen aller Dateien auf dem System.
Trend Micro hat sowohl das Skript als auch die Payload entdeckt, die diese Attacken nutzen, und die damit verbundenen URLs blockiert. Auch gilt die neueste Firefox-Version 4 Berta als sicher. Mozilla empfiehlt zudem, als Schutz die Noscript-Erweiterung zu nutzen, bis ein Patch verfügbar ist.

Europa ist in der ersten Hälfte 2010 zur weltweit größten Spam-Schleuder avanciert. Dies geht aus dem aktuellen Trend Micro Threat Report 2010 für die erste Jahreshälfte hervor. Entgegen der allgemeinen Wahrnehmung machten pornografische Inhalte lediglich vier Prozent des gesamten Spamvolumens aus. Kommerzielle, auf Betrug ausgerichtete oder medizinische Produkte bewerbende E-Mails hatten einen Anteil von 65 Prozent am weltweiten Spamaufkommen. HTML-Spam ist dabei die beliebteste Form, die unerwünschte digitale Post zu verteilen.

Aus dem Report geht hervor, dass die Zahl verseuchter URLs von 1,5 Milliarden im Januar auf über 3,5 Milliarden im Juni angewachsen ist. Die meisten bösartigen URLs sind in Nordamerika beheimatet, wohingegen im asiatisch-pazifischen Raum die meisten Opfer von Malware-Infektionen anzutreffen sind.

Zu den am häufigsten von Trend Micro geblockten Webseiten zählen Seiten mit indizierten Inhalten, aber auch Webseiten, die gefährlichen Code enthielten wie IFRAME-Code, TROJ_AGENT und JS_DLOADR.ATF.

Trojaner haben etwa einen Anteil von 60 Prozent aller neuen Signaturen oder des jeweiligen von den Trend Labs erstellten Gegenmittels. Sie nehmen allein 53 Prozent aller seit Juni aufgedeckten Bedrohungen ein. Auf dem zweiten und dritten Platz findet sich Backdoor-Software und Trojaner-Spyware, gemeinhin bekannt als Crimeware, mit dem Ziel des Datendiebstahls. Die meisten Trojaner führen zu dieser Art von Malware.

Indien und Brasilien kommen insofern zu einer unrühmlichen Ehre, als sich in diesen Ländern die meisten Computer befinden, die von Botnetzen kontrolliert werden. Botnetze gehören zu den präferierten Werkzeugen von Internetkriminellen, um Malware oder Spam zu verteilen und Angriffe zu verüben.

Bei einer Betrachtung der Infektionsraten nach Branche war der Bildungssektor in der ersten Jahreshälfte 2010 am meisten betroffen: Nahezu die Hälfte aller Malware-Infektionen wurde an Schulen und Universitäten verzeichnet, also dort, wo IT-Verantwortliche vor der schwierigen Aufgabe stehen, eine komplexe und weit verteilte Infrastruktur abzusichern, die von vielen Studenten genutzt wird, die sich kaum an Sicherheitsrichtlinien halten. An zweiter und dritter Stelle liegen Behörden und die Technologiebranche mit jeweils zehn Prozent aller Malware-Infektionen.

ZeuS und KOOBFACE waren in der ersten Jahreshälfte 2010 besonders aktiv. ZeuS wurde von einem in Osteuropa beheimateten Verbrechernetzwerk entwickelt mit dem Ziel, von Nutzern Onlinebanking-Zugangsdaten und ähnlich sensible Informationen zu stehlen. Zielscheibe dieser Angriffe sind vornehmlich kleinere Unternehmen und ihre Banken. Jeden Tag registriert Trend Micro hunderte ZeuS-Abwandlungen und es sieht nicht danach aus, als ob sich dies in Zukunft ändern würde.

Das KOOBFACE-Botnetz kann sich damit rühmen, die bis heute größte Bedrohung für soziale Netzwerke zu sein. Anfang des Jahres bemerkten die Experten bei Trend Micro, dass die Verbrecherbande hinter KOOBFACE das Botnetz regelmäßig aktualisiert: die Botnetz-Architektur wird verändert, neue ausführbare Dateien kommen hinzu, Botnetz-Funktionen verschmelzen mit anderen Binärdateien. Auch begannen die Betrüger die Kommunikation, mit der das Botnetz kontrolliert wird, zu verschlüsseln, um eine Überwachung durch Sicherheitsexperten oder die Behörden zu verhindern.

Sicherheitslücken in Anwendungen waren schon immer ein Teil der Bedrohungslandschaft. In der ersten Jahreshälfte 2010 zählten die Trend Micro-Sicherheitsforscher 2.552 veröffentlichte Sicherheitslücken und Auffälligkeiten in Anwendungen. Es sind weitaus mehr, wenn man die Fälle hinzurechnet, die die Forscher vertraulich allein an die jeweiligen Hersteller gemeldet haben und bei denen das Wissen um diese Lücken nie an die Öffentlichkeit gelangte. Endanwender sind insofern davon betroffen, als der einmalige Besuch einer Website genügt, um sich zu infizieren. Unternehmensserver stehen ebenfalls im Visier, wobei die Internetkriminellen hier ungepatchte Sicherheitslücken ausnutzen. Zwar mag der Zugang komplizierter als bei Einzelsystemen sein, doch lockt die Internetkriminellen die weit größere potenzielle Belohnung.

Das Trend Micro Smart Protection Network bietet als Sicherheitsinfrastruktur den Anwendern innovativen Schutz aus der Cloud und blockiert Sicherheitsbedrohungen in Echtzeit, noch bevor sie den Anwender erreichen. Derzeit kommen im Smart Protection Network täglich 45 Milliarden Anfragen an, täglich werden fünf Milliarden Bedrohungen geblockt und 2,5 Terabyte an Daten verarbeitet. Durchschnittlich 80 Millionen Anwender nutzen täglich das Netzwerk.

Der vollständige Report mit umfassenden Tipps, wie man sich als Unternehmen und Endanwender schützen kann, steht unter Threat Reports zur Verfügung.

Eine Gruppe unabhängiger Sicherheitsforscher haben angekündigt, während des Monats September Zero-day- und Webanwendungsschwachstellen sowie Proof-of-concept (PoC) Exploits für gepatchte Sicherheitslücken zu veröffentlichen. Unter den Anbietern, deren angebliche Produkt-Sicherheitslücken an die Öffentlichkeit geraten sollen sind renommierte Unternehmen wie Adobe, Apple, Microsoft oder Mozilla.

Dem Trend Micro-Forscher Rajiv Motwani zufolge handelt es sich um eine Sammlung neuer und alter Lücken, die in erster Linie Microsoft betreffen. Die neuen Sicherheitslücken können als Zero-day-Schwachstellen gesehen werden, die die Nutzer verwundbar machen, bis ein Hersteller einen Patch anbietet. Das kann jedoch dauern, und daher sollten die Anwender jeden angebotenen Workaround nutzen.

Auch ist davon auszugehen, dass Einzelheiten zu den kürzlich veröffentlichten Advisories publiziert werden und dass auch PoC-Code dabei ist – damit aber Exploits wahrscheinlicher sind. Damit wiederum steigt das Risiko für die Anwender. Für Anwendungen wie der Internet Explorer (die Forscher haben angekündigt, dazu eine Schwachstelle zu veröffentlichen) kann ein Exploit innerhalb von Stunden nach der Ankündigung publik werden. Teile der vielen in Umlauf befindlichen Exploits lassen sich zudem für neue Angriffe wiederverwenden, sodass der Prozess sich nochmals beschleunigt.

Unternehmensanwender sollten wissen, dass Serveranwendungen ebenfalls von den veröffentlichten Sicherheitslücken betroffen sind. Möglicherweise dauert es länger, bis diese geschlossen werden. Außerdem ist auch der potenzielle Schaden für einen betroffenen Server höher als bei Privatanwendern.

Andererseits ist es für einzelne User schwieriger, sich zu schützen. Es gibt keine zentralen Benachrichtigungsmechanismen zu Updates, und die teilweise verfügbaren Auto-Update-Fähigkeiten stellen eine zusätzliche Belastung für diese Anwendergruppe dar.

Trend Micro bietet einige kostenlose Tools zum Herunterladen, die Anwender dabei unterstützen ihre Computer zu schützen.

Ein gutes Timing ist alles, vor allem wenn man Malware verbreiten will. Letzte Woche benachrichtigten die Entwickler des beliebten Echtzeit-Browsers TweetDeck die Nutzer, dass sie diese Anwendung aktualisieren müssen, weil es Änderungen in den von Twitter unterstützten Authentifizierungsprotokollen gibt.

Cyberkriminelle witterten sofort ihre Chance und verschickten ihre eigenen Tweets mit gleichem Inhalt. Doch diese bösartigen Nachrichten enthielten einen URL-verkürzten Link auf einen angeblichen TweetDeck-Installer namens tweetdeck-08302010-update.exe.

Die Datei enthält natürlich keinen legitimen Installer sondern eine TDSS-Variante, die Trend Micro als TROJ_TDSS.FAT identifiziert hat. Die TDSS-Schädlingsfamilie liefert Rootkits, die die vollständige Kontrolle über betroffene Systeme übernehmen können. Auch sind sie aufgrund ihrer Komplexität und ausgeklügelten Programmierung schwer zu entfernen.

TweetDeck hat die Nutzer offiziell davor gewarnt,  einen Installer herunter zu laden, dessen URL mit http://alturl.com/ beginnt. Auch ist die Website, auf der die bösartige Datei liegt, blockiert worden.

Mehr als zwei Wochen ist es her, seitdem die LNK-Sicherheitslücke bekannt und auch von ZBOT- und SALITY-Malware ausgenützt wurde. Jetzt gibt es einen Patch dafür. Doch mit oder ohne Patch, Angriffe über diese Lücke werden zunehmen.

Der dritte der in diesem Jahr außerhalb der Reihe veröffentlichten Patches ist den regulären August-Updates um eine Woche voraus. Microsoft selbst erklärte bei der Veröffentlichung des Patch, man habe „eine Steigerung bei den Versuchen, die Sicherheitslücke auszunutzen, festgestellt“ und sich deshalb für diesen vorgezogenen Release eines Fix entschieden.

Privatanwender sollten ihre Systeme so schnell wie möglich patchen, um sich vor der Gefahr zu schützen. Unternehmensanwender können das Aufspielen des Patch auf später verschieben und sich mit den bereits vorhandenen Workarounds schützen oder mit den Produkten von Trend Micro wie Deep Security und OfficeScan mit Intrusion Defense Firewall Plugins.

Gefälschte YouTube-Seiten sind ein typisches Merkmal des KOOBFACE-Botnetzes. Damit sollen potenzielle Opfer dazu gebracht werden, den „Codec“ zu installieren, der für das Abspielen von Videos nötig ist – in diesem Fall von einer angeblich versteckten Kamera.

Die gefälschten Seiten umfassten in einem Fall die Reaktion der KOOBFACE-Gang auf die von Dancho Danchev veröffentlichte Liste ihrer böswilligen Aktivitäten.

Vor einigen Tagen nun schlossen die Kriminellen einen kurzen JavaScript-Code mit ein, der es der Bande erlaubt, die Seiten-Hits direkt zu überwachen. Der Tracking-Code liegt am unteren Rand der Seite, und zwar weit unter einer Reihe von <br>-Tags.

Der Code nutzt einen Hit-Zähler-Webdienst. Laut Information der Hit-Zählerseite nutzt die Bande diese Methode seit dem 28. Juli 2010.

Seither gab es 22.905 einzigartige Hits.

Sogar nach Zeitabschnitten verfolgt die Bande ist Seiten-Hits.

Das stündliche Tracking ermöglicht es den Kriminellen, die Nutzeraktivitäten (nach Tageszeit) mit der Anzahl der KOOBFACE-Infektionen in Verbindung zu setzen. Die Statistikseite enthält keinen Hinweis auf die Zeitzone, sodass die Interpretation der Stundendaten nicht besonders nützlich wirkt. Die 22.905 Hits stellen die Anzahl der einzelnen Besuche auf der gefälschten YouTube-Seite dar, die der KOOBFACE-Lader mit dem Datennamen setupNNNN.exe hochschiebt (NNNN ist eine Zufallszahl). Es gibt auf der Hit-Zählerseite keine aktuellen Daten dazu, wie viele Nutzer tatsächlich den KOOBFACE-Loader ausgeführt haben.