Kürzlich erhielt der Autor eine Instant Message über sein Yahoo!Messenger-Konto. Die Nachricht schien von einer Bekannten zu kommen und war an die gesamte Liste ihrer Freunde versendet worden.

Das bekannte Nachrichtenformat ließ den Schluss zu, dass der Absender ein Bot war, der den Empfänger dazu verleiten wollte, auf den Link in der Nachricht zu klicken. Der Link führte auf die folgende Seite mit 11 Fragen für einen IQ-Test führte:

Wer die Fragen beantwortet, landet auf einer “Ergebnisseite”, wo er seine Mobilnummer angeben soll, um die Quizergebnisse zu erhalten.

Auf den ersten Blick erschließt sich nicht, was die Spammer mit einer Mobilnummer machen wollen. Doch unten auf der Seite im „Summary of Terms“ zeigte sich, dass der Nutzer durch die Angabe seiner Mobilnummer ein Abo auf mobilen Content abschloss – und dieses war natürlich nicht kostenlos. 9,99 bis 19,99 Dollar im Monat wären fällig gewesen.

Die IM-Nutzer sind gut beraten spätestens an diesem Punkt den Browser Tab zu schließen und die Website zu verlassen. Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network vor dieser Gefahr geschützt, denn der „IQ-Test“ ist von der Sicherheitsinfrastruktur blockiert worden.

Eine Gruppe unabhängiger Sicherheitsforscher haben angekündigt, während des Monats September Zero-day- und Webanwendungsschwachstellen sowie Proof-of-concept (PoC) Exploits für gepatchte Sicherheitslücken zu veröffentlichen. Unter den Anbietern, deren angebliche Produkt-Sicherheitslücken an die Öffentlichkeit geraten sollen sind renommierte Unternehmen wie Adobe, Apple, Microsoft oder Mozilla.

Dem Trend Micro-Forscher Rajiv Motwani zufolge handelt es sich um eine Sammlung neuer und alter Lücken, die in erster Linie Microsoft betreffen. Die neuen Sicherheitslücken können als Zero-day-Schwachstellen gesehen werden, die die Nutzer verwundbar machen, bis ein Hersteller einen Patch anbietet. Das kann jedoch dauern, und daher sollten die Anwender jeden angebotenen Workaround nutzen.

Auch ist davon auszugehen, dass Einzelheiten zu den kürzlich veröffentlichten Advisories publiziert werden und dass auch PoC-Code dabei ist – damit aber Exploits wahrscheinlicher sind. Damit wiederum steigt das Risiko für die Anwender. Für Anwendungen wie der Internet Explorer (die Forscher haben angekündigt, dazu eine Schwachstelle zu veröffentlichen) kann ein Exploit innerhalb von Stunden nach der Ankündigung publik werden. Teile der vielen in Umlauf befindlichen Exploits lassen sich zudem für neue Angriffe wiederverwenden, sodass der Prozess sich nochmals beschleunigt.

Unternehmensanwender sollten wissen, dass Serveranwendungen ebenfalls von den veröffentlichten Sicherheitslücken betroffen sind. Möglicherweise dauert es länger, bis diese geschlossen werden. Außerdem ist auch der potenzielle Schaden für einen betroffenen Server höher als bei Privatanwendern.

Andererseits ist es für einzelne User schwieriger, sich zu schützen. Es gibt keine zentralen Benachrichtigungsmechanismen zu Updates, und die teilweise verfügbaren Auto-Update-Fähigkeiten stellen eine zusätzliche Belastung für diese Anwendergruppe dar.

Trend Micro bietet einige kostenlose Tools zum Herunterladen, die Anwender dabei unterstützen ihre Computer zu schützen.

Ein gutes Timing ist alles, vor allem wenn man Malware verbreiten will. Letzte Woche benachrichtigten die Entwickler des beliebten Echtzeit-Browsers TweetDeck die Nutzer, dass sie diese Anwendung aktualisieren müssen, weil es Änderungen in den von Twitter unterstützten Authentifizierungsprotokollen gibt.

Cyberkriminelle witterten sofort ihre Chance und verschickten ihre eigenen Tweets mit gleichem Inhalt. Doch diese bösartigen Nachrichten enthielten einen URL-verkürzten Link auf einen angeblichen TweetDeck-Installer namens tweetdeck-08302010-update.exe.

Die Datei enthält natürlich keinen legitimen Installer sondern eine TDSS-Variante, die Trend Micro als TROJ_TDSS.FAT identifiziert hat. Die TDSS-Schädlingsfamilie liefert Rootkits, die die vollständige Kontrolle über betroffene Systeme übernehmen können. Auch sind sie aufgrund ihrer Komplexität und ausgeklügelten Programmierung schwer zu entfernen.

TweetDeck hat die Nutzer offiziell davor gewarnt,  einen Installer herunter zu laden, dessen URL mit http://alturl.com/ beginnt. Auch ist die Website, auf der die bösartige Datei liegt, blockiert worden.

FAKEAV-Malware wird mittlerweile wie als ganz normales Geschäft betrieben, und das trotz der hohen Aufmerksamkeit von Seiten der Medien. Trend Micro-Sicherheitsforscher haben drei wichtige Aspekte – nämlich Social Engineering-Techniken, FAKEAV-Techniken und das Geschäft mit der Malware — untersucht, um herauszufinden, warum diese berüchtigte Malware sich so hartnäckig behaupten kann.

Social Engineering stellt die überwiegend genutzte Technik für die Weiterentwicklung böswilliger Aktivitäten dar, sowohl online als auch offline. FAKEAV ist ein gutes Beispiel für eine Online Social Engineering-Erfolgsstory. Die Malware nutzt menschliche Schwächen aus und setzt Techniken wie „Black Hat“ Search Engine Optimization (SEO) ein, um Nutzer auszutricksen.

Hinter professionell wirkenden Benutzerschnittstellen, störenden Pop-ups und sonstigen Scareware-Taktiken von FAKEAV steckt eine einfache Technologie. Man kann daher sagen, dass die FAKEAV-Technik eher trickreich als komplex ist. Aber ungeachtet der Einfachheit der Technik spielt sie eine erfolgskritische Rolle für die Social Engineering Malware-Taktik.

Natürlich ist eine böswillige Kampagne sinnlos, wenn sie den Betreibern nichts bringt. Im FAKEAV-Geschäft geht es um hohe Einsätze, denn neben den 40 bis 100 Dollar, die die Nutzer als Preis für eine Schwindelsoftware zahlen, geht es vor allem um Informationsdiebstahl.

Weitere Einzelheiten zu den Aspekten gibt es im Security Spotlight Artikel “Why FAKEAV Persists”.

Microsoft hat ein neues Security Advisory veröffentlicht, dass Erläuterungen zu einer Sicherheitslücke bezüglich der Handhabung von DLL-Dateien durch Windows enthält. Folgendes Angriffsszenario ist möglich: Eine verwundbare Anwendung wird zum Öffnen einer völlig legitimen Datei genutzt. Außerdem muss eine bösartige Datei vorhanden sein, die  in demselben Verzeichnis liegt und denselben Namen hat wie die legitime DLL-Datei. Wenn die angreifbare Anwendung lädt, so wird statt der legitimen DLL-Datei die bösartige Datei aufgerufen und geladen.

Möglich ist dies aufgrund von Fehlern in der Art und Weise, wie Windows die zu ladende DLL-Datei auswählt: Das Betriebssystem zieht nämlich die Bibliotheken vor, die in demselben Verzeichnis liegen wie die geöffnete Datei, anstatt die Bibliotheken in den korrekten Systemverzeichnissen zu nehmen. Jedwelcher Code in den bösartigen Dateien wird ausgeführt.

Diese Art der Attacke – auch Binary Planting oder DLL Preloading genannt – ist seit Jahren bekannt. Doch bislang stellte sie keine große Gefahr dar, denn die bösartige Datei musste bereits auf dem System des Nutzers vorhanden sein. Doch kürzlich fanden Forscher eine Möglichkeit, den Angriff über remote Netzwerkfreigaben zu starten. Deshalb hat jetzt Microsoft mit dem Advisory reagiert.

Unter den ersten, von Exploits betroffenen Anwendungen sind laut dem Online-Nachrichtendienst The Register Firefox und Powerpoint. Doch gibt es auch weitere Berichte zu Angriffen über besagte Sicherheitslücke, die auch viele andere Anwendungen betreffen.

Angesichts der Malware-Attacken wird Microsoft wohl gezwungen sein, drastischere Maßnahmen zu ergreifen. Solange es jedoch keine klare Lösung für die Lücke gibt, sollten Nutzer besonders vorsichtig mit dem Öffnen von Dateien auf Netzwerkfreigaben umgehen. Die Anwender von Trend Micro-Produkten wie Deep Security und OfficeScan mit Intrusion Defense Firewall (IDF) Plug-in sollten die neuesten Regeln herunter laden, um sich gegen diese Bedrohung zu schützen. Diese Regeln verhindern, dass DLLs von remote Freigaben geladen werden.

Letzte Woche kündigte Intel an, den Sicherheits-Softwarehersteller McAfee zu übernehmen. Der Deal stellt bei einem Preis von rund 7,7 Milliarden Dollar die bisher größte Übernahme dar, die Intel je getätigt hat. Analysten bewerten den Kauf als Möglichkeit für den Chip-Hersteller, Prozessoren zu entwickeln, die Sicherheits-Scans, wie sie die McAfee-Software durchführt, beschleunigen. Laut eigenen Aussagen will der Konzern alle „mit dem Internet verbundenen Geräte“ sicherer machen.
Eva Chen, CEO und Mitbegründerin von Trend Micro kommentiert die Übernahme: „Intels Entscheidung, eine Sicherheitsfirma zu kaufen, ist eine klare Botschaft an die Branche und Investoren, dass Sicherheit absolut grundlegende Bedeutung für künftige Technologieservices und Produkte hat. Für bestehende und zukünftige Kunden versetzen die Intel-Ressourcen McAfee unter Umständen in die Lage, verschiedene Geräte und Endpunkte abzusichern. Damit würde nachgeholt, was andere Anbieter wie Trend Micro durch das Smart Protection Network bereits erreicht haben. Allerdings ist das Embedded-Softwaremodell völlig verschieden von dem Betriebsmodell von Sicherheitssoftware. Das ist somit eine gute Gelegenheit für Kunden, ihre Beziehung zu ihrem Sicherheitspartner zu überprüfen und zu evaluieren, ob sie die Services und Expertise erhalten werden, die sie benötigen.“

Folgende Geschichte über einen Autoverkauf im Internet hört sich zwar witzig an, zeigt aber vor allem, wie dreist Betrüger sind und wie sorgfältig Nutzer die Kommunikation mit Unbekannten prüfen sollten.

Ich versuche gerade, mein Auto über Facebook Marketplace zu verkaufen. Kaum hatte ich das Verkaufsangebot dort eingestellt, bekam ich eine Nachricht von einer gewissen Caroline McMillan, die Einzelheiten zum angebotenen Auto haben wollte. Die lieferte ich sofort und bekam umgehend ihre Zusage, das gute Stück kaufen und die Bezahlung über PayPal abwickeln zu wollen. Ich wurde stutzig: Einen Wagen über PayPal bezahlen, ohne einen Blick darauf geworfen zu haben? Es schrillten sofort die Alarmglocken und ein Suchlauf über Google ergab sehr schnell, dass ich es mit einem Betrüger zu tun hatte.

Jetzt wollte ich es genau wissen und gab ihr (oder wahrscheinlich ihm) meine PayPal-Adresse für die Geldüberweisung, und dann kam’s … Sie schrieb, sie müsse Geld an die Firma zur Autoabholung überweisen und die akzeptieren keine Kreditkarten. Daher benötige sie meine Hilfe, sprich, ich solle 750 Euro über Western Union überweisen. Aha, das ist also die Masche!

Ich ließ sie wissen, dass ich selbstverständlich ich nichts überweise, bevor ich von ihr das Geld auf meinem Konto habe. Erstaunlicherweise erklärte sie sich damit einverstanden und versprach, die Zahlung so schnell wie möglich zu tätigen.

Einige Minuten später erhielt ich dann eine E-Mail von PayPal. Bei genauerem Hinsehen entdeckte ich eine Reihe von Ungereimtheiten, ja sogar Schreibfehler. Die Nachricht war definitiv nicht von einem englischen Muttersprachler verfasst worden. Kurze Zeit später kam eine weitere absurde E-Mail von einem „William“ von PayPal, der mir mitteilte, die Geldsumme sei eingetroffen und ich solle nun das Geld  über Western Union an besagte Transportfirma überweisen. Wer fällt auf so etwas herein? Also ignorierte ich diese E-Mail und antwortete „Caroline“: „Ich warte auf das Geld und werde den Eingang bestätigen. Bislang ist noch nichts auf meinem Konto.“

Offensichtlich, um die Kommunikation aufrecht zu erhalten, antwortete sie mir: „Lesen Sie bitte die Mail an Sie gesendet werden sehr gut.“ So, so!

Mehr Infos ließen sich nun aus diesem Betrüger nicht herausholen, deshalb schickte ich einen Link zu einer Website, die vor diesem Betrug warnt. Um keinen Verdacht zu wecken, kürzte ich die URL mit bit.ly ab, und nach fünf Minuten sah ich auf der Stats-Seite, dass nur ein einzelner Zugriff auf diese URL getätigt worden war. Raten Sie mal woher? Nigeria!

Deshalb ist größte Vorsicht geboten, wenn jemand eine Geldüberweisung von Ihnen fordert und noch mehr, wenn das Geld über Western Union gehen soll!

Smartphones werden bei Cyberkriminellen immer beliebter als Angriffsziel zur Verbreitung von Malware. In der vergangenen Woche hat TrendLabs⁽ über den allerersten, im Umlauf befindlichen Android-Trojaner (identifiziert als TROJ_DRIODSMS.A) berichtet. Obwohl die damit intendierte Routine nicht ausgeführt werden konnte, zeigt der Angriff, dass die Cyberkriminellen ständig nach neuen Mitteln und Wegen suchen, um Malware zu verteilen.

Aktuell haben die Trend Micro-Bedrohungsanalysten Edgardo Diaz und Alvin Jethro Bacani eine möglicherweise bösartige App für das Android entdeckt. Die App ist unter dem Namen Tap Snake (identifiziert als TSPY_DROISNAKE.A) bekannt und zirkuliert im Android-Markt. Die App besitzt die Fähigkeit, die GPS-Standortdaten eines Benutzers über HTTP POST (gpsdatapoint.appspot.com/addpoint) zu verschicken, sobald der Anwender die Endverbraucherlizenzvereinbarung (EULA) akzeptiert.

Schlimmer noch: Die App lässt sich nicht beenden, um den Versand der Anwenderdaten zu verhindern. Dem Benutzer bleiben somit lediglich zwei Möglichkeiten – entweder die App zu deinstallieren oder den SnakeService zu stoppen. Ein entfernter Benutzer kann nämlich eine andere Android App mit dem Namen GPS SPY dazu verwenden, den Tap Snake-Standort eines Anwenders zu überwachen, solange die App auf dessen Gerät installiert ist.


Um den SnakeService zu beenden, können Anwender folgendermaßen vorgehen:

1. Öffnen Sie Settings, dann Applications, dann Running Service
2. Gehen Sie zu SnakeService und wählen Sie Stop.

Bedrohungsanalyst Mark Balanza rät Anwendern, noch vor der Installation zuallererst zu überprüfen, was für Berechtigungen eine App erfordert. Im vorliegenden Fall verlangt Tap Snake nicht nach GPS-Daten, fragt aber nach einer diesbezüglichen Berechtigung in EULA. Dies sollte Anwender unmittelbar dazu veranlassen, der App-Installation kritisch gegenüber zu stehen.

Auf der Blackhat- und DEFCON-Konferenz letzte Woche, führte der unabhängige Sicherheitsforscher Craig Heffner einen neuen Angriff vor gegen Heimanwender-Router. Die Attacke kombiniert DNS-Rebinding sowie Cross Site Request Forgery (CSRF) und nutzt JavaScript, um die Browser der Nutzer dazu zu bringen, einen Kommunikationskanal zwischen dem Angreifer und der Admin-Konsole des Heim-Routers aufzusetzen. Ist das Router-Kennwort einfach zu erraten (etwa router oder password) oder gar noch auf das Fabriks-Default gesetzt, kann der Angreifer schnell die vollständige Kontrolle über das Gerät erlangen und damit alle Geräte einem Netzwerkangriff aussetzen. Der Kriminelle könnte beispielsweise die DNS-Einstellungen des Routers ändern, sodass jeder, der an diesen Router angeschlossen ist, Phishing-Attacken riskiert.

Als erster muss der Angreifer eine Position einnehmen,  in der er in der Lage ist, die DNS-Records der Domäne zu ändern, die er für seinen Angriff nutzen will. Dann muss er verschiedene Seiten in der infizierten Domäne erzeugen, die die Website für den Angriff hosten soll und diese mit DNS verlinken. Schließlich wird der Angreifer eine ausreichende Kontrolle über den Webserver haben, sodass er ihn dazu bewegen kann, bei Bedarf einen TCP reset (RST) Befehl zu versenden.

Der Angriff beginnt, wenn der Nutzer die bösartige Site besucht. Heffner nutzte DNS, um die öffentliche IP-Adresse des Opfers zu kassieren, doch gibt es auch andere Möglichkeiten dafür. Sobald der Kriminelle die IP-Adresse hat, muss er schnell eine neue Unterdomäne in der Angriffsdomäne erzeugen mit zwei A-Records, die einen Host-Namen einer IP-Adresse zuordnen. Der erste Record zeigt auf den Server, während er zweite auf die öffentliche IP-Adresse des Routers des Opfers weist. Der Webserver leitet nun den Browser des Opfers auf eine Seite um mit JavaScript-Code, der den CSRF-Teil des Angriffs ausführt.

Jetzt wird es interessant! Der Browser beginnt den JavaScript-Code auszuführen und der versucht, sich mit der temporären Unterdomäne zu verbinden. Der angreifende Server antwortet mit einem RST-Befehl und beendet die Session. Das System des Users versucht dann eine weitere ihm bekannte IP-Adresse für denselben Host-Namen – und das ist die externe Adresse des Routers. Alle Ergebnisse werden an den angreifenden Server über ein Portal weitergegeben, sodass der Angreifer verschiedene Nutzernamen und Kennwortkombinationen ausprobieren kann, bis er sich erfolgreich verbindet oder der Browser Window/Tab geschlossen wird.

Normalerweise ist die Admin-Konsole für das Internet nicht sichtbar, denn viele Anwender-Router beinhalten eine Default-Einstellung, die verhindert, dass eine IP-Adresse außerhalb des lokalen Netzwerks sich damit verbindet. Doch viele Services auf diesen Geräten lauschen auf Verbindungen auf allen Schnittstellen. Paketfilterfunktionen hindern externe Nutzer daran, auf die Admin-Konsole zuzugreifen, doch interne Nutzer haben häufig Zugang zur Konsole über eine externe IP-Adresse.

Folgende Liste mit Empfehlungen soll dazu beitragen, das Risiko, angegriffen zu werden, zu reduzieren:

• Aktivieren Sie die HTTPS-Admin-Konsole auf dem Gerät und vergessen Sie dabei nicht, die http-Konsole, wenn möglich, zu deaktivieren.
• Verwenden Sie ein starkes Kennwort für den Router, ändern Sie den Benutzernamen von Zeit zu Zeit.
• Deaktivieren Sie den Zugang von einem externen Netzwerk zur Admin-Konsole des Routers. Dies lässt sich meistens von der Konsole aus tun.
• Falls Sie nicht die von dem ISP automatisch mitgelieferten DNS-Server verwenden, so nutzen Sie ein anderen rekursiven Resolver oder einen, der für die öffentliche Nutzung angeboten wird, etwa OpenDNS http://www.opendns.com/. Damit sind Sie gegen die veröffentlichte Version dieses Angriffs geschützt.
• Wenn möglich, fügen Sie eine Firewall-Regel hinzu, die die Geräte im lokalen Netz daran hindert, Pakete an den Block zu versenden, in dem Ihre öffentliche IP-Adresse Mitglied ist. Dies hindert alle IPs im lokalen LAN daran, die externe IP des Routers zu kontaktieren. Ändert der ISP den Block, der in Ihrer Nachbarschaft genutzt wird, so muss die Regel entsprechend geändert werden. Als zusätzlicher Vorteil verhindert diese Regel, dass Ihr System unbeabsichtigt an Ihre Nachbarn sendet.
• Halten Sie die Firmware des Router und anderer Netzwerkgeräte immer auf aktuellem Stand.

Die Sicherheitsforscher von Trend Micro haben den ersten SMS-Trojaner auf Googles Smartphone mit Android-Betriebssystem entdeckt. Sie stellten fest, dass es sich dabei um TROJ_DROIDSMS.A handelt und dass sich die Malware mithilfe des Windows Media Player Icons tarnt. Der Schädling versucht, Textnachrichten an Nummern wie 3353 oder 3354 mit dem Nachrichten-String 798657 über das default Short Message Service Center (SMSC) zu verschicken. Zusätzlich nutzt der Trojaner die Permissions-Funktion (android.permission.SEND_SMS), um besagter App das Recht zu geben, Nachrichten zu verschicken. Diese Routine ähnelt der Symbian-Malware, die sich ebenfalls App tarnt und Textnachrichten an bestimmte Nummern verschickt.

Ivan Macalintal, Advanced Threats Researcher bei Trend Micro, zufolge ist die Payload dieses Angriffs nicht neu. Es gab bereits in der Vergangenheit mobile Angriffe mit derselben kriminellen Routine. „Dieses Profit generierende Schema ist sehr verführerisch für Cyberkriminelle. Das Einzigartige an diesem Angriff ist die Tatsache, dass Android-Plattformen das Ziel sind, und mit der steigenden Beliebtheit der Google-Plattform werden auch die Angriffe zunehmen“, erklärt der Experte.