Malaysischer Flug MH 370 pietätlos als Köder missbraucht

Originalartikel von Rika Joi Gregorio, Threat Response Engineer

Die Suche nach dem verschollenen Flugzeug der malaysischen Fluglinie steht nicht nur im Mittelpunkt der medialen Aufmerksamkeit. Cyberkriminelle ködern mit dem Thema die Neugier der Öffentlichkeit.
Eines der eingesetzten Mittel ist ein gefälschtes Video zum Flug, das die Kriminellen über E-Mail verbreiten. Das Video zeigt angeblich einen fünf Minuten langen Clip namens Malaysian Airlines MH370 5m Video.exe. zum Flug MH370. Dabei handelt es sich in Wahrheit um einen Backdoor-Schädling (BKDR_OTOPROXY.WR). Wie meistens erlaubt auch dieser Schädling Angreifern, aus der Ferne verschiedene Befehle auf dem befallenen System auszuführen, einschließlich des Herunterladens und Ausführens von Dateien von den eigenen Servern sowie das Sammeln von verschiedenen Systeminformatiionen.

Doch in diesem Fall fällt auf, dass der Command-and-Control-Server unter www-dpmc-dynssl-com (die Bindestriche mit Punkten ersetzen) anderen Sicherheitsforschern bereits bei einem gezielten Angriff im Oktober aufgefallen war. Es ist ungewöhnlich, dass ein gezielter Angriff dieselbe Infrastruktur wie eine „konventionellere“ Kampagne nutzt. Derzeit gibt es keine Erkenntnisse darüber, dass dieser bestimmte Backdoor-Schädling in gezielten Angriffen eingesetzt wurde.

Die Cyberkriminellen nutzen die Tragödie auch auf eine andere Weise. Beispielweise verbreiten sie die Nachricht, das verschollene Flugzeug sei im Meer gefunden worden. Nutzer, die den Link anklicken, werden auf eine Website umgeleitet, die das Layout von Facebook nachahmt. Hier gibt es ein Video, das die angebliche Entdeckung des Flugzeugs zeigt. Ganz gleich, wo auf der Seite geklickt wird, öffnet sich eine weitere Seite mit einem gefälschten Video über den Film „Avatar“.



Bild 1. Bösartige Site mit eingebettetem „Video“

Beim Anklicken eines dieser Videos wird der Nutzer dazu aufgefordert, seine Freunde/Follower aus den sozialen Medien offenzulegen, bevor er das Video anschauen kann. Danach soll sein Alter durch einen Test überprüft werden. Diese Tests sind nichts weiter als der übliche Umfrage-Betrug. Feedback aus dem Smart Protection Network zeigt, dass 32% der Nutzer, die diese Seite besucht haben, aus Nordamerika kommen und mehr als 40% aus dem asiatisch-pazifischen Raum.

Ein weiterer ähnlicher Betrug umfasst eine Site, die das Layout von YouTube nachahmt, wo angeblich ein anderes Video zur Entdeckung des verschollenen Flugzeugs zu sehen ist. Auch hier müssen Interessierte das Video mit anderen teilen und einen Test bestehen – also die gleiche Masche.

Bild 2.Weitere Site mit einem “interessanten Video”

Leider wird der Missbrauch von medienwirksamen Ereignissen immer häufiger, so etwa das Erdbeben in Japan 2011 oder das Attentat auf den Boston Marathon. Nutzer sollten sich nur auf vertrauenswürdigen Nachrichtenseiten informieren, statt auf fragwürdige E-Mails oder Seiten sozialer Netzwerke zu setzen. Trend Micro-Anwender sind vor dieser Art des Betrugs geschützt, denn die Lösungen erkennen die Bedrohungen und blockieren die damit in Zusammenhang stehenden Seiten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*