Die KOOBFACE-Bande trackt nun Besucher

Originalartikel von Joey Costoya (Advanced Threats Researcher bei Trend Micro)

Gefälschte YouTube-Seiten sind ein typisches Merkmal des KOOBFACE-Botnetzes. Damit sollen potenzielle Opfer dazu gebracht werden, den „Codec“ zu installieren, der für das Abspielen von Videos nötig ist – in diesem Fall von einer angeblich versteckten Kamera.

Die gefälschten Seiten umfassten in einem Fall die Reaktion der KOOBFACE-Gang auf die von Dancho Danchev veröffentlichte Liste ihrer böswilligen Aktivitäten.

Vor einigen Tagen nun schlossen die Kriminellen einen kurzen JavaScript-Code mit ein, der es der Bande erlaubt, die Seiten-Hits direkt zu überwachen. Der Tracking-Code liegt am unteren Rand der Seite, und zwar weit unter einer Reihe von <br>-Tags.

Der Code nutzt einen Hit-Zähler-Webdienst. Laut Information der Hit-Zählerseite nutzt die Bande diese Methode seit dem 28. Juli 2010.

Seither gab es 22.905 einzigartige Hits.





Sogar nach Zeitabschnitten verfolgt die Bande ist Seiten-Hits.

Das stündliche Tracking ermöglicht es den Kriminellen, die Nutzeraktivitäten (nach Tageszeit) mit der Anzahl der KOOBFACE-Infektionen in Verbindung zu setzen. Die Statistikseite enthält keinen Hinweis auf die Zeitzone, sodass die Interpretation der Stundendaten nicht besonders nützlich wirkt. Die 22.905 Hits stellen die Anzahl der einzelnen Besuche auf der gefälschten YouTube-Seite dar, die der KOOBFACE-Lader mit dem Datennamen setupNNNN.exe hochschiebt (NNNN ist eine Zufallszahl). Es gibt auf der Hit-Zählerseite keine aktuellen Daten dazu, wie viele Nutzer tatsächlich den KOOBFACE-Loader ausgeführt haben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*