Neue Koobface-Komponente tarnt sich als Facebook-Nutzer

Original Artikel von Jonell Baltazar (Advanced Threats Researcher bei Trend Micro)

Das Koobface-Botnet hat eine neue Komponente in Umlauf gebracht, die die folgenden Routinen automatisiert:

  • Registrieren eines Facebook-Kontos,
  • Bestätigen einer E-Mail-Adresse in Gmail, um das registrierte Facebook-Konto zu aktivieren,
  • Beitritt zu beliebigen Facebook-Gruppen,
  • Hinzufügen von Facebook-Freunden sowie
  • Posten von Nachrichten an die Schwarzen Tafeln von Facebook-Freunden.

Im Allgemeinen verhält sich die Komponente wie ein normaler Internet-Nutzer, der mit Freunden in Facebook Verbindung aufnehmen will. Alle von der Komponenten registrierten Facebook-Konten lassen sich mit den üblichen von Nutzern erstellten Konten vergleichen. Auch die Angaben zu den Konten sind vollständig, etwa Fotos, Geburtstag, Lieblingsmusik oder Lieblingsbücher. Außerdem ist jedes Konto einzigartig, denn sie enthalten unterschiedliche Detail.

Koobface führt diese bösartigen Aktivitäten über eine automatische Routine für den Internet Explorer aus, der dann die Aufgabe des Aufsetzens und Registrierens eines Kontos übernimmt. Die Prozess bricht jedoch ab, falls der betroffene Benutzer den Internet Explorer 6 im Einsatz hat. Zusätzlich achtet die Malware auf das von Facebook gesetzte maximale Zahl an Einladungen von Freunden, sodass sie unterhalb des Radars bleibt und keinen Alarm bei Administratoren auslöst. Die Komponente holt sich die Details von einer der verfügbaren Proxy-Domänen des Botnets.



Die geposteten Nachrichten über Facebooks Schwarzem Brett enthalten einen Link, der auf die übliche gefälschte Facebook oder YouTube-Seite führt, die die Koobface-Ladekomponente umfasst.

Facebook-Nutzer sind gut beraten, vorsichtig und sicherheitsbewusst zu handeln. Es ist anzunehmen, dass das Koobface-Botnet ein eigenes Facebook-Konto besitzt. Anwender der Sicherheitslösungen von Trend Micro sind durch das Trend Micro Smart Protection Network vor dieser Attacke geschützt. Das Smart Protection Network blockt auch weiter bösartige URLs, die von Koobface gespammt werden.

Ein Gedanke zu „Neue Koobface-Komponente tarnt sich als Facebook-Nutzer

  1. Pingback: Koobface tarnt sich als Facebook-Anwender » markus-arlt.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*