Neuer bösartiger Ansturm auf Twitter

Original Artikel von Rik Ferguson

Nur zwei Tage, nachdem Twitter alle Spam-Bot-Konten gründlich ausgemistet hat, legt eine neue bösartige Tweet-Kampagne an Geschwindigkeit zu (zurzeit werden 33 t/h (Tweets pro Stunde) beobachtet). Die Tweets werden von Hunderten von Konten gesendet, die anscheinend nur zu diesem Zweck erstellt wurden.

Die meisten Konten wurden allerdings schon vor der Aufräumaktion von Twitter angelegt. Ich habe mir stichprobenartig Konten angeschaut (und schnell damit aufgehört, da die Profile irgendwie immer gleich aussahen), die alle am 20. und 21. Juli angelegt wurden. Die besagte Domain doiop.com zählt zu den Sites, die Links kürzen und in immer größeren Anzahl auftauchen. Es ist auch nicht das erste Mal, dass sie als Infektionsüberträger fungiert hat.

twitscoop1

Bemerkenswert bei den Social-Engineering-Elementen dieses Angriffs ist die immer raffiniertere Technik, automatisch Tweets zu veröffentlichen. Dieses Mal veröffentlichen die betrügerischen Konten jedoch nicht einfach laufend einen von vielen bösartigen Tweets in der gesamten Twitter-Gemeinschaft, noch versuchen sie, sich in laufende Diskussionen einzuklinken, um die Aufmerksamkeit auf sich zu lenken. Diese beiden Techniken sind für die Administratoren von Twitter sehr offensichtlich und auch nichts Neues; die bösartigen Konten werden also sehr schnell gelöscht.

Stattdessen werden von den Konten Nachrichten direkt an andere Twitter-Benutzer gesendet – die dem Absender natürlich nicht folgen – in der Hoffnung, dass ihre zufällig ausgewählten Opfer neugierig genug sind, um auf den bösartigen Link zu klicken. Um die gefälschten Konten echter aussehen zu lassen, werden die bösartigen Beiträge nach Belieben mit Nachrichten darüber vermischt, welche Musik der Spam-Bot gerade hört oder welche andere (rechtmäßige) Website er besucht. In vielen Fällen überwiegen auf der Seite die guten Tweets die bösartigen. Ein flüchtiger Blick auf das gefälschte Profil lässt viele schon glauben, es sei ein seriöses Profil.

jessicabonit11

Die erste Umleitung geht zu einem Link auf die Domain {GESPERRT}.com. Interessanterweise entdeckt man durch einen kurzen Blick auf die Stammebene der Domain einen einzelnen Blog-Eintrag, in dem für einen „leichten Twitter-Bot, den so gut wie jeder nutzen kann“, geworben wird. (Wir entdecken ihn als HKTL_FAKEBOT). Eine zweite Umleitung verweist von dieser Domain auf den bösartigen Link auf die Site clickbank.net, die ihrerseits auf eine nicht gerade langweilige Vergangenheit zurückblickt, da sie schon öfters von Cyber-Kriminellen missbraucht wurde.

babybot1

Der bösartige Schadteil dieses Angriffs ist eine vermeintliche Sicherheitsanwendung mit Namen „Registry Easy 5.1“. Das Programm tarnt sich als ein PC-Tuning-Programm, gibt vollkommen irreführende Ergebnisse aus und man muss bezahlen, noch bevor es den PC reinigt. Wir entdecken es als TROJ_FAKEAV.DAP. Auch die hierbei beteiligten Domains werden vom Smart Protection Network gesperrt.

Wir wurden immer und immer wieder darauf gedrillt, keine verdächtigen oder unerwünschten E-Mail-Anhänge zu öffnen. Jetzt, wo 92 % der Malware über das Internet verbreitet werden, wird es höchste Eisenbahn, diese guten Gewohnheiten auch auf verdächtige und unerwünschte Links anzuwenden, ob sie nun in einer E-Mail, Instant Message, über Twitter oder anderweitig empfangen wurden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*