KOOBFACE verschickt wieder Nachrichten über Facebook

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Das berüchtigte KOOBFACE-Botnetz schickt direkte Nachrichten auf Facebook. Dies sollte den meisten Nutzern bereits bekannt sein, denn die Taktik ist nicht neu und wir haben sie auch bereits im März dieses Jahres diskutiert.

Der Hook ähnelt einem ZBOT-Angriff, der ebenfalls schon im März entdeckt wurde, und der vorgab, jemand habe Fotos des Nutzers veröffentlicht. Dieses Mal geht es stattdessen um Videos, die angeblich auf Youtube zu sehen seien. Der Nutzer solle auf den folgenden Link klicken: http://www.facebook.com/l/ae2d7CYBUtLFPs-LAKPMtRXKpBA;www.{BLOCKED}rotherz.ca./19mai/.

Wie so häufig bei diesen Angriffen ist das Englisch der Nachricht katastrophal. Die URL ist gewissermaßen verschleiert, denn der erste Domänennamen, den der Nutzer sieht, gehört Facebook. Der Grund: Der Link führt legitim zuerst auf Facebook. Jede URL im Format http://www.facebook.com/l/{random character};{redirected URL} führt zur Facebook Preview-Seite für externe Links. Anscheinend gehen die Cyberkriminellen fest davon aus, dass die Nutzer die Warnungen ignorieren und auf die ihre Site weiter gehen. Tun sie das und besuchen die bösartige Site, so sehen sie folgendes:

Diese bösartige Site wird auf mehreren IP-Adressen gehostet. Die Nutzer kommen von Facebook auf ein Umleitungs-Skript (JS_REDIR.EB), das auf verschiedene IP-Adressen zeigt, die jedoch alle dieselbe Payload haben – nämlich eine neue KOOBFACE-Variante. Trend Micro hat sie als WORM_KOOBFACE.IC identifiziert.

Wie viele frühere KOOBFACE-Varianten auch, wird diese zum Herunterladen von Malware auf das System des Nutzers verwendet. Zumindest eine davon, TROJ_JORIK.D, installiert augenscheinlich einen Webbrowser, der möglicherweise die KOOBFACE-Infektionskette erneut startet.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network vor diesem Angriff geschützt, denn die Content-Sicherheitsinfrastruktur blockiert mithilfe des Web Reputation Service den Zugriff auf bösartige Sites und verhindert den Download der zugehörigen bösartigen Dateien.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*