Die UEFA Euro 2012 als Köder

Originalartikel von Paul Pajares, Fraud Analyst

Das große Interesse an der EURO 2012 nutzen auch die Cyberkriminellen für ihre Machenschaften. Die Sicherheitsspezialisten von Trend Micro haben eine bösartige Site entdeckt, die einen Domänennamen nutzt, der die offizielle UEFA Euro 2012 Site kopiert. Die Webseiten führen zu Werbe-Tracking- und Betrugsseiten.

Bösartige Domäne hostet mehrfache Bedrohungen

Die Site {BLOCKED}uro2012.com ahmt die offizielle Site http://www.uefa.com/uefaeuro/ nach. Die Nachforschung ergab, dass diese bereits geblockte Site verschiedene Schädlinge hostet, wie etwa die FAKEAV-Variante TROJ_FAKEAV.HUU. Wird der Trojaner in einem System ausgeführt, so zeigt er vermeintliche Scan-Ergebnisse für das infizierte System und verführt damit Nutzer eventuell zum Kauf eines falschen Antivirusprogramms, das er auch aktiviert.

Die FAKEAV „Aktivierungsseite“ ist in Wirklichkeit eine Phishing-Seite, die die Opfer dazu verleitet, persönliche Informationen preiszugeben. Der Trojaner kann auch Webbrowser deaktivieren (Internet Explorer, Mozilla Firefox, and Google Chrome).

Diese Domäne hostet auch die Datei TROJ_DLOADR.BGV, die Verbindung mit drei verschiedenen URLs aufnimmt, um die ZBOT-Variante TSPY_ZBOT.JMO herunterzuladen. Bei diesen Varianten handelt es sich um notorische Informationsdiebe, die es vor allem auf die Einwahldaten für Online-Banking abgesehen haben. Weitere Details zu der Schädlingsfamilie liefert die Studie „Zeus: A Persistent Criminal Enterprise“.

Blackhat SEO schlägt ebenfalls weiter zu

Auch nutzten die Cyberkriminellen das Spiel zwischen Portugal und Tschechien am 21. Juni für die Blackhat Search Engine Optimization (BHSEO) mit Hilfe von Social Engineering-Taktiken.

Suchten Nutzer nach den Schlagwörtern “Watch Portugal vs Czech Republic Live”, so erschien die bösartige Site als eines der ersten Suchergebnisse. Klickte ein Nutzer diesen Link an, so wurde er statt auf den Live Video-Stream des Spiels auf eine Seite mit einem „Video-Angebot“ weitergeleitet. Nutzer die unwissentlich das „Angebot“ annahmen, griffen auf damit verbundene Sites zu, die den Standort und die IP-Adresse des Betroffenen verfolgen. Damit können die Betrüger Geld verdienen, denn diese Daten werden als Page Visits zur Werbung gewertet.

Ein weiterer ähnlicher Angriff nützte das kürzlich stattgefundene Spiel Italien gegen England aus. Die Site {BLOCKED} glandvsitalylivestreameuro2012online.com leitet Nutzer auf http://www.{BLOCKED}og.com/2012/06/england-vs-italy-live-stream/ weiter, eine Site, die vermeintlich einen Live Video-Stream des Spiels anbietet. Auch in diesem Fall werden Nutzer auf eine betrügerische Seite geleitet, die dann ihrerseits zu Werbe-Tracking-Sites führt.

UEFA 2012 Web Extension, Facebook Clickjacking

Die Sicherheitsforscher fanden auch eine gefälschte Google Chrome-Erweiterung, die auf Chrome Web Store gehostet wird. Die Analyse ergab, dass Nutzer, die besagte Erweiterung ihrem Browser hinzufügen und aktivieren, auf die bösartige Site http://www.{BLOCKED}linetv.biz/livesports.php weitergeleitet werden und dann zu Werbe-Tracking-Sites.

Natürlich werden auch Facebook-Nutzer von dieser Bedrohung nicht verschont. Es gibt verschiedene Pinnwand-Einträge, die angeblich zu einer Seite mit Video-Streaming der Spiele führen. Fällt ein Nutzer darauf herein, so ist das Ergebnis dasselbe wie bei den anderen Taktiken.

Euro 2012 Spam

Rik Ferguson, Director Security Research & Communication EMEA, entdeckte Spam-Nachrichten, die Spielergebnisse auf die in der Abbildung dargestellte Weise missbrauchten:

Nutzer, welche eine solche E-Mail erhalten, sollten auf keinen Fall den Link darin anklicken, denn er führt zu einer kanadischen Site, die gefälschte Medikamente anbietet.

Die betrügerischen Techniken im Zusammenhang mit beliebten Sportereignissen sind sehr weit verbreitet. Daher sollten Nutzer nur zuverlässige Websites im Zusammenhang mit der EURO 2012 aufsuchen und diese dann mit einem Lesezeichen versehen. Weitere Details zu dieser Art von Gefahr bieten die FAQs unter Sports as Bait: Cybercriminals Play to Win.

Trend Micro-Anwender sind vor diesen Bedrohungen über das Smart Protection Network geschützt, denn die Sicherheitsinfrastruktur blockiert die bösartigen URLs und entdeckt die damit in Zusammenhang stehende Malware. Auch Spam-Nachrichten werden geblockt.

Ein Gedanke zu „Die UEFA Euro 2012 als Köder

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*