Cyberkriminelle reiten auf der Welle von Sicherheitspannen mit FAKEAV

Originalartikel von Macky Cruz (Technical Communications bei Trend Micro)

Wir berichten regelmäßig über den Missbrauch aktueller Ereignisse durch Cyberkriminelle, die daraus Profit schlagen wollen. In den vergangenen 24 Stunden hat Trend Micro mehrere FAKEAV-Attacken beobachtet, die darauf abzielten, Anwender zu überlisten, die nach Hilfestellungen als Folge des jüngsten McAfee-Update-5958-Vorfalls suchen. Die Hartnäckigkeit, mit der Cyberkriminelle ahnungslosen Endanwendern und Unternehmen weitere Probleme und Unannehmlichkeiten bereiten, ist in vielerlei Hinsicht wenig verwunderlich.

Wir bei Trend Micro wollen den Anwendern dabei helfen, FAKEAV-Warnmeldungen als solche zu erkennen, bevor sie darauf hereinfallen.

In einem aktuellen Blogeintrag darüber, wie Blackhat SEO zu FAKEAV führt http://blog.trendmicro.com/doorway-pages-and-other-fakeav-stealth-tactics/ beschrieb Threat Response Engineer Norman Ingal einige wichtige Merkmale, anhand derer sich bösartige Suchergebnisse erkennen lassen. Zu diesen Merkmalen zählt insbesondere, dass die URLs nach folgendem Muster aufgebaut sind:

http://<domain name>/<path>/<file>.php?<key>=<search keyword>

http://<Domäne>/<Pfad>/<Datei>.php?<Schlüssel>=<Suchwort>

Daran können Anwender bösartige Suchergebnisse erkennen. Norman Ingal macht ferner darauf aufmerksam, dass der Seitentitel (der Text, der fettgedruckt nach Art von Überschriften in der Liste der Suchergebnisse erscheint) in der Regel identisch mit den verwendeten Suchwörtern ist. Immer wieder sind wir auf dieses Muster bei unseren Untersuchungen zu den Blackhat SEO-Attacken gestoßen.

Erst diese Woche wurden die folgenden Suchwörter entdeckt, zu denen Suchergebnisse erscheinen, die zu gefälschter Antivirensoftware führen:

  • who got voted off american idol april 21
  • dancing with the stars elimination april 2010
  • goldman sachs sec filings
  • boston marathon results
  • april 20th weed day

Im Folgenden ist dargestellt, was unsere Ingenieure gefunden haben, als sie anfingen, den Suchergebnissen zum aktuellen Sicherheitsvorfall nachzugehen:

Diese Suchergebnisse führen zu Weiterleitungen, die mit dem mittlerweile bekannten Erpressungsschema enden, das die Anwender mit gefälschten Infektionswarnungen ködert, um sie davon zu überzeugen, für eine Software Geld zu bezahlen, die sie gar nicht benötigen. Trend Micro erkennt Varianten und Komponenten dieser Angriffe als FAKEAV.

Das Trend Micro Smart Protection Network™ schützt Anwender bereits vor Blackhat SEO-Angriffen dieser Art, indem es den Zugriff auf bösartige Sites und Domänen mittels seines Web-Reputationsdienstes verhindert.

Web-Reputation stellt eine weit schnellere Möglichkeit dar, neue Bedrohungen zu blockieren, als das Warten auf Signaturen, und bei dieser Attacke konnten wir Tausende neuer bösartiger Dateien beobachten, die verarbeitet werden müssen, gegenüber nur einer einzigen Domäne.

Die Anwender sollten sich mittlerweile bewusst geworden sein, dass es nicht mehr so gefahrlos ist, wie bislang angenommen, Ergebnissen von Suchmaschinen zu vertrauen. Die Hinweise, die wir weiter oben gegeben haben, können dabei helfen, die legitimen Suchergebnisse von den verdächtigen auszusieben. Anwendern, die fürchten, ihr System könnte infiziert sein, steht das kostenlose Werkzeug Trend Micro HouseCall http://housecall.trendmicro.com/de/ zur Verfügung, das nach Infektionen durch Schadsoftware und anderen Sicherheitsbedrohungen scannt.

Als weitere Blackhat SEO-Attacken wurden in den vergangenen Wochen im Malware Blog http://blog.trendmicro.com behandelt:

Kid’s Choice Awards Used for FAKEAV

Moscow Subway Explosions Result in FAKEAV http://blog.trendmicro.de/die-suchergebnisse-zum-anschlag-auf-die-moskauer-u-bahn-fuehren-zu-fakeav/

Another Earthquake, Another FAKEAV

Ein Gedanke zu „Cyberkriminelle reiten auf der Welle von Sicherheitspannen mit FAKEAV

  1. Pingback: Trend Micro warnt vor FakeAV

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*