Kürzlich entdeckte Trend Micro Schadsoftware, die MS Word- und Excel-Dateien von infizierten Systemen holt und diese auf die File Hosting Site sendspace.com hoch lädt. Diese Site bietet Nutzern einen Datei-Hosting-Dienst für das „Senden, Erhalten, Verfolgen und die gemeinsame Nutzung von großen Dateien“. Bereits Ende letzten Jahres hatten Hacker Sendspace dazu mißbraucht, um gestohlene Daten dort zusammen zu tragen und hoch zu laden.

Bei dem aktuellen Vorfall jedoch ist es das erste Mal, dass Malware für das Hochladen der gestohlenen Daten eingesetzt wurde. Der Angriff startet mit einer über den Trojaner TROJ_DOFOIL.GE infizierten Datei, Fedex_Invoice.exe. Der Dateiname lässt darauf schließen, dass es sich um eine Spam-Kampagne handelt, die als FedEx-Benachrichtigung getarnte Messages einsetzt. Die Sicherheitsforscher von Trend Micro suchen derzeit nach einem Muster einer solchen Spam-Nachricht. Der Trojaner lädt einen weiteren (TSPY_SPCESEND.A) so genannten “Grab and Go” Trojaner herunter, der das lokale Laufwerk des infizierten Computers nach Word- und Excel-Dateien absucht. Die auf diese Art gesammelten Dokumente werden archiviert und mit einem zufallsgenerierten Kennwort geschützt. Nachfolgend ein Beispiel eines solchen Archivs:

Danach schickt der Schädling das Archiv an Sendspace.com.

Der Schädling schickt dann den Sendspace Download-Link mit dem generierten Kennwort an den C & C-Server.

Es handelt sich um einen schlauen Schachzug der Kriminellen, die auf diese Weise keinen Server aufsetzen müssen, um große Mengen gestohlener Daten zu speichern.

Trend Micros Solutions Evangelist Ivan Macalintal sieht in dieser Technik einen neuen Trend: “Bislang haben wir Dropsites für gestohlene Daten vor allem in Domänen gefunden, die den Kriminellen selbst gehörten. Jetzt aber, nutzen sie legale ‚Clouds‘ dafür, wo sie die Daten ablegen und wieder holen können“, stellt er fest.

Trend Micros Smart Protection Network schützt die Anwender vor dieser Gefahr, denn die Reputationsdienste erkennen und blockieren die bösartigen Dateien und die URL des C & C-Servers.

Smartphones erfreuen sich wachsender Beliebtheit. Eine von Google in fünf Ländern durchgeführte Umfrage beweist dies: In Deutschland etwa stieg die Zahl der Smartphone-Besitzer von Januar 2011 bis Oktober um fünf Prozent auf insgesamt 23 Prozent der Bevölkerung.
Entsprechend diesem Trend nehmen auch die Gefahren für die mobilen Geräte zu. Mittlerweile gelten für die Mobilgeräte und Tablets dieselben Gefährdungsszenarien wie man sie aus der PC-Welt kennt. Die folgenden fünf Angriffsmuster zeigen die Ähnlichkeiten auf:

• Vor mehr als fünf Jahren nutzten Cyberkriminelle umkonfigurierte Modems, um Bezahldienste und Ferngespräche für ihre Zwecke zu nutzen. Heute versucht mobile Schadsoftware häufig, Nutzer dazu zu verleiten, solche Bezahldienste zu abonnieren.
• Etwa zwanzig Jahre lang verbreiteten vor allem Viren Angst und Schrecken, danach waren es Würmer, und heute sind es in erster Linie Trojaner-Downloader für den einmaligen Gebrauch. All diese Mittel hatten nur ein Ziel, die Opfersysteme möglichst dauerhaft zu infizieren und zu kompromittieren. Auf den mobilen Plattformen gibt es bereits Trojaner für den Datendiebstahl, die sich als nützliche App tarnen und im Stillen Daten sammeln und weiterleiten.
• Mehrstufige und zwischen PC und mobilen Geräten wechselnde Bedrohungen gibt es bereits. Einige Varianten des Bank-Schädlings ZeuS überwacht den PC und die Online-Transaktionen. Entdeckt er eine Anfrage für eine zweite Überprüfung schickt er einen Facebook-Link an das Smartphone des Opfers, um so Daten abzuziehen und einen vollständigen Zugriff auf die Online-Finanzdaten zu erhalten.
• Fast jeder Nutzer empfängt in der einen oder anderen Form E-Mails auf seinem Mobilgerät, die im Prinzip die Aktivitäten auf dem Desktop widerspiegeln. Daher sind auch diese Mails denselben Phishing- und Spam-Attacken ausgesetzt wie auf dem PC.
• Von Exploits und Angriffen wie Man-in-the-Middle und solche auf SSL-Verbindungen ist in Verbindung mit PCs immer wieder die Rede. Da heutige Smartphones viel schneller sind als die „alten“ PCs, kleinere Bildschirme haben, und es keine „ausgewachsenen“ Werkzeuge gibt, die erforschen können, was im Hintergrund läuft, merken die Nutzer von Tablets oder Smartphones meist nicht, wenn sie angegriffen werden.

Im Zuge der BYOD (Bring-Your-Own-Device)-Strategien kommen die mobilen Geräte in die Unternehmen. Doch werden sie nicht mit derselben Sorgfalt gesichert wie PCs, Laptops oder Desktops, deren Nutzung von Policies und Richtlinien geregelt wird.

Um nicht zum Opfer zu werden, ist Nutzern dringend zu empfehlen, auch ihre mobilen Geräte mit Anti-Malware- und Content-Filtering-Lösungen zu schützen. Ebenso wichtig ist es , die Firmware und die mobilen Apps auf aktuellem Stand zu halten. Weitere Gedanken und Tipps zum Thema bieten die Einträge: „Die Gefahr durch Android-Malware wächst auch 2012“ sowie „2011 in Review: Mobile Malware“.

ICS (Industrial Control Systems)-Netzwerke haben seit dem letzten Jahr durch Sicherheitsprobleme und Angriffe darauf Schlagzeilen gemacht. Unter ICS-Netzwerken versteht man eine Sammlung von Netzwerken mit Elementen für die Bereitstellung und Kontrolle von Telemetriedaten zu elektromechanischen Komponenten wie Ventilen, Regler oder Switches. Sie werden vor allem in Industriezweigen wie der Öl- und Gasproduktion, in der Wasserwirtschaft, Umgebungskontrollsystemen, Elektrizitätswerken, in der Fertigung oder im Transportwesen verwendet.
All den ICS-Umgebungen ist gemeinsam, dass sie nicht „traditionelle“ IT-Netzwerke darstellen und auch nicht als solche behandelt werden sollten. Durch ihre Einzigartigkeit haben sie die gleichen Sicherheitsherausforderungen, die durch die Interaktion der ICS-Elemente mit physischen Industriekomponenten noch größer werden.
Ist der Zugang zu diesen Elementen nicht entsprechend abgesichert und eingeschränkt, kann es zu Unfällen mit katastrophalen Auswirkungen kommen. Deshalb werden viele dieser Industriesysteme auch als „kritische Infrastruktur“ eingestuft, die einer speziellen Sicherheitsarchitektur bedarf.
Supervisory Control and Data Acquisition (SCADA)-Netzwerke stellen die Netzwerkschicht dar, als direkte Schnittstelle zu den ICS-Netzwerken und den Host-Systemen, die die ICS-Elemente überwachen und kontrollieren. Bislang lebten die SCADA/ICS-Netzwerke in einer eigenen Welt von proprietären Protokollen auf speziellen Plattformen und einer darauf zugeschnittenen Kommunikationsinfrastruktur. Sie waren von anderen Netzwerken, einschließlich Internet, vollkommen abgeschnitten. Doch nun wird immer häufiger Standard-Hard- und Software (beispielsweise Microsoft Windows) eingesetzt, und sie sind mit externen Netzwerken verbunden. Damit aber sind sie auch den aus der IT bekannten Gefahren ausgesetzt.
Das technische Whitepaper “Towards a More Secure Posture for Industrial Control Systems” beschreibt die Grundelemente einer für diese Systeme erforderlichen Sicherheitsarchitektur. Dabei unterscheiden die Autoren des Papiers zwischen ICS-Netzwerken und SCADA-Funktionalität. Das ICS-Netzwerk besteht vor allem aus programmierbaren, logischen Controllern und anderen DCS-Elementen. Das SCADA-Netzwerk wiederum bildet eine „Brücke“ zwischen den ICS- oder DCS-Sensoren und den Managementsystemen, die deren Betrieb überwachen und kontrollieren.
Zu den kritischen Sicherheitsmaßnahmen gehört in erster Linie die strenge sowie zeitnahe Handhabung der Software-Patches für Sicherheitslücken, denn die Zahl der Exploits für bestimmte ICS- und SCADA-Plattformen steigt stetig. Nicht nur das Betriebssystem, sondern jedes Softwarepaket, das auf einem Gerät installiert wird (einschließlich Netzwerkmanagement-Plattformen, Router, Switches, Firewalls, Intrusion Detection Systems usw.), muss beim Patch-Management berücksichtigt werden.
Von grundlegender Bedeutung für die ICS-Sicherheit ist auch die geeignete Segmentierung und Verteilung der Netzwerke, Betriebsfunktionen und Einzelelemente. Unter anderem empfiehlt sich ein DMZ-Managementnetzwerk als zusätzliche Segmentierungsschicht. In enger Verbindung damit stehen auch Maßnahmen wie Authentifizierung, Log-Management und -Analyse, Anwendungskontrolle, Netzwerkzugangskontrolle und andere.
Für die Zugriffskontrolle empfiehlt der Autor eine spezielle Firewall, die zwischen die SCADA- und DMZ-Managementnetzwerke gesetzt wird. Sie erlaubt den Verkehrsfluss nur in eine Richtung.
Anwendungs-White-Listing stellt einen weiteren wichtigen Kontrollmechanismus dar, sodass lediglich vorher autorisierte Programme laufen dürfen. Damit soll verhindert werden, dass durch böswilliges oder unaufmerksames Verhalten von Anwendern Malware oder infizierte Programme eingeschleust werden.
Schließlich sollte ein Intrusion Detection System sowie das Log-Management und die Analyse von Sicherheits- und Ereignisinformationen nicht fehlen. Weitere Einzelheiten sowie Best Practices zur Absicherung der kritischen Infrastruktur liefert das Whitepaper.

Es gibt viele Arten der Untersuchung einer Bedrohung mithilfe unterschiedlicher Sachkenntnis – vor allem, wenn es sich um eine Gefahr handelt, die mehrere Schädlinge einbezieht und eine ziemlich robuste C&C (Command & Control)-Infrastruktur verwendet. Doch unabhängig davon, ob Reverse Engineering oder die Analyse der Botnet-Infrastruktur eingesetzt wird, das wichtigste Ziel ist, die Bedrohung an sich zu verstehen.

Trend Micro ist in der glücklichen Lage, einige Experten in seinen Reihen zu haben, die diese Herausforderung mit verschiedenen Mitteln angehen können. Deren technische Analyse und die benötigte Sorgfalt bei der Überwachung der Koobface-Aktivitäten führte zu einem gründlichen Verständnis des Botnets. Somit war Trend Micro in der Lage, zu reagieren und eine angemessene Lösung für den Schutz der Kunden zu liefern.

Koobface auf dem Höhepunkt

Zu seinen besten Zeiten, war Koobface als Schadsoftware bekannt, die sich über das sich (zu der Zeit) rasant entwickelnde soziale Netzwerk Facebook verbreitete. Doch natürlich steckte mehr dahinter.
2008 bis 2009 war Facebook gerade dabei, sich von den anderen sozialen Netzwerken wie Myspace, Twitter, Friendster oder myyearbook abzugrenzen und die Vorherrschaft zu übernehmen. Trend Micros erstes Forschungspapier zu Koobface lieferte eine detaillierte Darstellung dazu, dass der Schädling nicht allein Facebook für seine Verbreitung nutzte, sondern auch andere damals beliebte soziale Netzwerke. Auch zeigten die Sicherheitsforscher auf, wie ein mit dem Koobface-Schädling infiziertes System weitere Malware installiert, die dann entweder dazu genützt wird, um infizierten Nutzer-Verkehr zu Geld zu machen oder um die betroffene Maschine in die Koobface C&C-Infrastruktur mit einzubinden.

Koobface und das C&C

Trend Micros zweites Forschungspapier beschäftigte sich ausführlich mit der C&C-Infrastruktur und -Kommunikation. Die Experten konnten die verschiedenen Kontrollebenen in der Koobface-Bande nachvollziehen – von der feingranularen Kontrolle der Social Engineering-Nachrichten, die der infizierte Nutzer als Spam verschickte, bis zu den verschiedenen Komponenten, Konten, Infrastrukturen und Befehlen, die der Bande zur Verfügung standen.

In dieser Phase gelang es den Sicherheitsforschern von Trend Micro, das C&C-Protokoll sowie die Befehle zu entziffern und die Botnet-Aktivitäten zu überwachen. Sie entdeckten die Facebook- und Google-Konten, die die Kriminellen kontrollierten und entkräfteten die Theorie, dass die Bad Guys billige Arbeitskräfte in Indien für das Knacken von CAPTCHAS beschäftigen. Auch stellten sie fest, dass die Leute hinter Koobface jeden Versuch, das Botnet kaltzustellen, unterliefen.

Noch fehlte aber die Antwort auf die zentrale Frage nach den Vorteilen für die Gang.

Koobface als Goldesel

Die Antwort auf diese Frage kam durch den Beweis, dass die Koobface-Bande in kriminelle Machenschaften verwickelt war, so etwa FakeAV-Installationen, Click-Betrug, Informationsdiebstahl und Online-Dating.

An diesem Punkt der Untersuchung wandten sich die Forscher für eine Zusammenarbeit an die breitere Sicherheits-Community, denn eine so große Aktion wie die um Koobface bedarf auch der Kenntnisse anderer Forscher, Ermittler und Organisationen. Trend Micro arbeitete mit unabhängigen Ermittlern wie Jan Droemer zusammen, ebenso mit Facebook und Google oder auch mit den Sicherheitsforschern von Kaspersky und Sophos. Dass auch mehrere Polizeibehörden involviert waren, ist selbstverständlich.

Die Entwicklung von Koobface

Ein nächstes Forschungspapier beschrieb, wie die Koobface-Bande die C&C-Architektur und die Malware-Binaries veränderte sowie die Backend-Dienste verbesserte, um sich gegen Schließungen und das Aufdecken ihrer Aktivitäten zu schützen.

Vor ein paar Wochen dann kam das bislang letzte Papier heraus, das zeigte, wie die Kriminellen sich den strengen Sicherheits-Checks von Facebook anpassen, indem sie auf Twitter und Blogspot umschwenken und TDS (Traffic Direction Systems) für ihre Zwecke nutzen.

Verfrühte Veröffentlichung

Die Beteiligten hielten die ganzen Daten zu den Untersuchungen und Nachforschungen geheim, um die laufenden Ermittlungen nicht zu gefährden. Doch leider veröffentlichte ein Blogger wichtige Informationen bezüglich der Koobface-Ermittlung, und zwar ohne sich mit den Beteiligten abzusprechen. Dies geschah, bevor es zu den gewünschten Ergebnissen kommen konnte (etwa Verhaftungen).  Die langsamen Ermittlungen sind verständlich, geht es doch um Beweise, die vor Gericht Bestand haben müssen. Es bleibt zu hoffen, dass trotz der aktuellen Situation die Ermittlungen zu einem guten Ende kommen und die Kriminellen ihrer gerechten Strafe nicht entgehen.

Trend Micro-Forscher Jonell Baltazar, Ryan Flores, Joey Costoya und Nart Villenueve haben erhebliche Anstrengungen unternommen, um die Koobface-Bedrohung zu untersuchen.  In diesem Whitepaper beschreibt Sophos ebenfalls die Entwicklung der Aktion Koobface.

Das Jahr 2011 brachte sowohl Herausforderungen als auch Erfolge nicht nur für Trend Micro, sondern auch für die anderen Sicherheitsanbieter und die behördlichen Mitstreiter im Kampf gegen Cyberkriminalität. 2011 wurde, wie von unseren Sicherheitsforschern vorhergesehen, zum „Jahr der Dateneinbrüche“. Weltweit wurden Unternehmen Opfer von gezielten Einbruchsangriffen und erlitten hohe Datenverluste, der neuen digitalen Währung.
Als Vorbereitung auf das kommende Jahr lohnt es sich, einen Blick auf die von Trend Micro getätigten Vorhersagen zu werfen und auf das, was tatsächlich eingetreten ist.

• Es wird mehr zielgerichtete Angriffe und Cyberspionage geben. Wie prognostiziert, wurden weltweit einige Unternehmen Opfer von zielgerichteten Angriffen, die sie teuer zu stehen kamen. RSA und Sony PlayStation – zwei der größten Angriffsziele 2011 – verloren Millionen Kundendaten und mussten Riesensummen aufbringen, um den Schaden zu beheben.
• Es wird mehr Angriffe auf mobile Geräte geben. Der enorme Anstieg der Android-Malware hat die Reife der mobilen Bedrohungslandschaft begünstigt. Mit Trojanern infizierte und andere Arten von bösartigen Android-Apps haben nicht nur die App Stores von Drittanbietern verseucht, sondern auch den Android Market selbst. Die prominentesten Schädlingsfamilien 2011 waren RuFraud- und DroidDreamLight-Varianten.
• Ausgeklügelte Malware-Kampagnen werden zunehmen. Cyberkriminelle haben weltweit Nutzer von sozialen Netzwerken mit noch mehr Aufsehen erregenden Spam- und Betrugsangriffen sowie innovativen Tools über Social Engineering überrollt. Diese Attacken haben Tausende von Nutzern ihre vertraulichen Daten und sogar die persönlichen Informationen gekostet.
• Die Ausnutzung von Sicherheitslücken und Exploits wird weitergehen. Obwohl die Zahl der ausgenützten Sicherheitslücken, über die berichtet wurde, rückläufig war, haben die Kriminellen weiter eine ganze Reihe von Exploit-Angriffen gestartet. Die drei am häufigsten ausgenützten Sicherheitslücken — VE-2011-3402, CVE-2011-3544 und CVE-2011-3414 – betrafen Produkte von drei der Top fünf Anbieter, nämlich Microsoft, Oracle und Adobe.
• Es wird neue Infektionen mit alter Malware geben und der kriminelle Untergrund wird sich konsolidieren. Traditionelle Bedrohungen haben auch 2011 Nutzer großen Schaden zugefügt. Als Mittel, um an Daten, Geld oder Identitäten heranzukommen, nutzen sie neue und bessere Werkzeuge und infizieren damit die Systeme und Geräte unwissender Nutzer.

Die Sicherheitsforscher haben zwar Hacktivismus für 2011 nicht prognostiziert, doch es gab eine ganze Reihe an Masseninfektionen durch AntiSec- und LulzSec-Angriffe. Hacktivistengruppen waren bei ihren Angriffen unter anderem auch politisch motiviert.
Doch insgesamt war 2011 kein so schlechtes Jahr, denn es gab auch Erfolge im Kampf gegen Cyberkriminalität. In enger Zusammenarbeit mit Partnern und den Behörden stand Trend Micro an vorderster Front in der Aktion „Operation Ghost Click“, bei der der bislang größte cyberkriminelle Ring ausgeschaltet wurde.
Weitere Einzelheiten zu den Sicherheitsvorfällen im vergangenen Jahr finden sich im Report “A Look Back at 2011: Information Is Currency”.

Betrüger zielten bislang mit ihrem Schema des so genannten One-Click Billing auf Smartphone-Nutzer. Jetzt gibt es ein ähnliches Betrugsmuster, dass speziell auf Android-Nutzer ausgerichtet ist.

Bei einem One-Click Billing-Betrug versuchen die Kriminellen, ihre Opfer dazu zu verleiten, sich für einen bestimmten Dienst anzumelden und dafür zu zahlen, indem sie sie auf manipulierte Webseiten locken. Beim letzten von Trend Micro aufgedeckten Angriff wurden die Opfer aufgefordert, eine bestimmte Summe zu zahlen, um zu verhindern, dass ihre Informationen an eine Pornoseite weitergeleitet werden.
Die Sicherheitsexperten haben nun einen ähnlichen Angriff über eine bösartige App auf Android-Nutzer entdeckt. Der Angriff wird von einer Blog-Site ausgelöst, auf der Spiele-Videos enthalten sind. Der Blog namens „Game Dunga“ hat bereits dreimal die Domain gewechselt. In früheren Versionen gab es eine Menge Links, die auf Spiele-Videos (nicht nur Pornoinhalte) führten. Die aktuelle, dritte Generation jedoch enthält nur Links, die auf Pornoinhalte zeigen.

Beim Versuch, ein Video anzuschauen, wird ein Pop-up-Fenster geöffnet mit der Aufforderung, eine App herunterzuladen, die Trend Micro als bösartig (ANDROIDOS_FAKETIMER.A) erkannt hat. Der Schädling sammelt die Kontoinformationen des Android-Nutzers und leitet sie an eine bestimmte URL weiter, als Parameter für die folgenden Methoden:
•    getAccounts() method – sammelt Gmail-Kontoinformationen, die von dem Gerät des betroffenen Nutzers verwaltet warden.
•    getDeviceID() method – sammelt die SIM-Daten des betroffenen Geräts.
•    getLine1Number() method – sammelt die Mobilnummer des Geräts.

Die auf diese Weise erhaltenen Daten werden an die Cyberkriminellen weitergeleitet. Auch zeigt ANDROIDOS_FAKETIMER.A ein Pop-up-Fenster an mit der Nachricht: „Wir haben ihre Zahlung nicht erhalten. Aus diesem Grund müssen wir gemäß unserer Richtlinien eine Strafgebühr erheben für den Fall, dass Sie nicht gezahlt haben.“

Darüber hinaus zeigt der Schädling die gestohlenen Informationen an, um Vertrauen beim Nutzer aufzubauen und ihn zur Zahlung zu bewegen.

Die Einbindung einer App in diesen Betrug verleiht dem Schema eine bis dahin nicht vorhandene Persistenz. In der Vergangenheit wurden die Routinen hauptsächlich über eine infizierte Website ausgeführt und somit endete der Angriff, wenn ein Opfer den Browser schloss. Nun aber, da eine auf einem Gerät installierte App dafür verantwortlich ist, wird der Nutzer wiederholte Male zur Zahlung aufgefordert. Eine Codeanalyse zeigte, dass das Pop-up auf ein Zeitintervall von fünf Minuten gesetzt war.

Nutzer, die auf ähnliche Sites stoßen, sind gut beraten, die Seite sofort zu verlassen, ohne einen Link anzuklicken. Trend Micros Smart Protection Network schützt die Anwender vor dieser Art von Angriffen, den der Web Reputation-Dienst erkennt die bösartigen Seiten und blockiert die entsprechenden URLs. Weitere Informationen zu anderen mobilen Gefahren und auch Tipps für die Sicherheit der Geräte gibt es im Mobile Threat Information Hub.

Bereits im August 2011 hatte Trend Micro in einer Infografik „Snapshot of Android Threats“ die erhebliche Steigerung in der Zahl der mit Trojanern infizierten Android Apps wie auch sonstige Malware für Android-Plattformen aufgezeigt. Auch in den „12 Security Predictions For 2012“ stellte der Sicherheitsspezialist fest, dass vor allem Android Smartphone- und Tablet-Plattformen zum Ziel vermehrter krimineller Angriffe werden.

Die ständige Beobachtung dieser Gefahr zeigte schnell, dass das Problem mit alarmierender Schnelligkeit zunimmt: Von einer Handvoll bösartiger Apps zu Beginn des Jahres schoss die Zahl bis zum Dezember auf mehr als tausend bösartiger Android-Apps hoch. Die durchschnittliche Wachstumsrate in der zweiten Jahreshälfte 2011 betrug mehr als 60 Prozent.

Nehmen die Angriffe in diesem Jahr mit der gleichen Geschwindigkeit zu, so wird es sicherlich ein „aufregendes“ Jahr für Android. Dann wird es im Dezember mehr als 120.000 bösartige Android-Apps geben.

Es gibt mehrere Faktoren, die dieses explosive Wachstum verursachen:

• Die steigende Beliebtheit von Android, dokumentiert durch die Gesamtzahl der heruntergeladenen Apps (mehr als zehn Milliarden über den offiziellen Android Market) und enorm hohe Nutzerzahl, die Gartner und auch Andy Rubin, Senior Vice President of Mobile von Google feststellen.
• Die Offenheit des Vertriebsmodells der Android-Apps. Anders als bei weiteren mobilen Betriebssystemen können Nutzer Anwendungen installieren, ohne dabei einen Filterungsprozess zu durchlaufen. Die Gefahr, eine bösartige App zu installieren, erhöht sich damit deutlich.
• Die kriminelle Denkweise: Bad Guys greifen dort an, wo das Geld ist.

Android Malware ist definitiv hier um auch 2012 zu bleiben.

Hier finden Sie Tipps & Lösungen, um Android Geräte zu schützen:

• 5 einfache Schritte zum Schutz Ihrer Android-basierten Smartphones
• Mobile Security Personal Edition – intelligenter Schutz für Android geräte inklusive App-Scanner

Wer ein kostengünstiges iPhone 4S bei eBay kaufen will, sollte vorsichtig sein. Cyberkriminelle könnten Interessierte dazu verleiten, ihre Online-Finanzdaten preiszugeben. Trend Micro hat einen Phishing-Angriff auf potenzielle Käufer von iPhones 4S bei eBay entdeckt.

Der Angriff nutzt Domänen, die betrügerische Kopien von eBay-Angeboten für solche Geräte umfassen. Folgender Screenshot zeigt ein Beispiel einer gefälschten Seite und dazu das originale eBay-Angebot, dessen Inhalt kopiert wurde.

Es gibt Unterschiede zwischen den beiden Seiten. Beispielsweise ist der Preis im echten Angebot in Dollar angegeben, während die Fälschung Euro anzeigt. Auch ist der Preis in der Fälschung bedeutend niedriger. Die Kriminellen nutzen für ihre Zwecke das Angebot eines Verkäufers mit einer guten Reputation, um das Vertrauen von potenziellen Opfern zu gewinnen.

Die gefälschten Seiten werden auf Domänen gehostet, die /www.ebay.ie/ enthalten, um den Anschein einer echten eBay-Domäne zu erwecken. Alle Links führen auf die echte Seite, ausgenommen natürlich “Buy It Now“. Dieser Button führt zu einer gefälschten Login-Seite, wo der Nutzer seine persönlichen Daten angeben muss.

Danach wird der Nutzer auf eine andere Seite weitergeleitet, auf der er aufgefordert wird, den Verkäufer über E-Mail zu kontaktieren, damit die Transaktion abgeschlossen werden kann.

Dies ist sicherlich nicht die Art und Weise, wie Verkaufstransaktionen bei eBay ablaufen, sondern ein Betrugsversuch, um an das Geld und die persönlichen Informationen der Opfer zu kommen. Und es ist nicht der einzige Angriff während der Weihnachtszeit. Kriminelle setzen auch gefälschte elektronische Weihnachtskarten oder soziale Netzwerke ein, um Malware zu verbreiten.

Weitere Informationen liefert das E-Book “Season’s Warnings” und „Sicheres Online-Shopping leicht gemacht“.

Das KOOBFACE-Botnetz ist dafür berüchtigt, mit dem Pay-per-Install (PPI) und Pay-per-Click (PPC)-Geschäftsmodell Geld zu machen. Allein 2009 verdiente die Bande mehr als zwei Millionen US-Dollar. Doch das scheint nicht genug gewesen zu sein, denn die Kriminellen rüsteten ihr Botnetz-Framework mit einem ausgeklügelten Traffic Direction System (TDS) auf, das den Internet-Verkehr auf von ihnen angegebene Sites lenkt. Darüber hinaus fügten sie neue Komponenten hinzu, um die Menge des Internetverkehrs in Richtung ihres TDS zu steigern. TDS lenkt den Verkehr hauptsächlich auf Werbeseiten um, wofür die Kriminellen nach Anzahl der Clicks bezahlt werden. Folgende Schautafel zeigt die Schritte, über die TDS den Kriminellen Geld in die Kasse spült:

1. Erzeugen und Registrieren von E-Mail-Adressen: Nachdem KOOBFACE nicht länger automatisch Google-Konten für die bösartigen Aktivitäten erzeugen kann, sind die Kriminellen nun auf Yahoo! Mail-Konten umgestiegen, um so die benötigten Google-Konten zu kreieren.
2. Erzeugen von Konten in sozialen Netzwerken: Die von KOOBFACE generierten E-Mail-Adressen werden dafür genutzt, um sich bei sozialen Netzwerken wie Twitter, Tumblr, FriendFeed3, FC24, livedoor5, So-net6 und Blogger anzumelden. Einige Konten wurden auch in altervista.org7 generiert. Die vom Botnetz erzeugten Domänen der Blog-Konten enthielten Wörter wie „news“ oder „2011 news“.
3. Bilder sammeln: Das Botnetz wurde auch um eine neue binäre Komponente angereichert, die vor allem pornografische Bilder, Fotos von Berühmtheiten, Hochzeiten, Tattoes und Autos sowie Hintergrundbilder von Googles Image-Suche sammelt. Diese nutzen die Kriminellen dann in ihren Blog-Veröffentlichungen.
4. Erstellen von Blog-Veröffentlichungen: Die Bande missbraucht beliebte japanische Blogging-Plattformen wie FC2, Livedoor, So-net, Jugem und Cocolog. Daneben nutzen sie aber auch die bewährte Google Blogger-Site mithilfe einer darauf zugeschnittenen Schadsoftware-Komponente, die Blog-Konten generiert, während andere Inhalte oder Veröffentlichungen von dem Proxy C&C-Server abzieht. Diese Posts werden automatisch auf die Zielplattformen hochgeladen. Sie enthalten Bilder, Links und Schlüsselwörter, die dem SEO-Ranking der entsprechenden Sites zuträglich sind. Zusätzlich verbergen sie auch JavaScript-Code, der auf die TDS-Domäne des Botnetzes weist. So kann das TDS die Zahl der Besuche der einzelnen Blog-Veröffentlichungen nachverfolgen und die Besucher auf die gewünschten Sites umlenken. Das Botnetz verdient Geld mit den Umlenkungen und der Anzahl der Clicks der Opfer während des Lesens der Veröffentlichungen.
5. Links auf Posts mit möglichst vielen teilen: Die Bande erhöht den Verkehr zu den bösartigen Blog-Veröffentlichungen auch, indem sie aktiv Schlüsselwörter dazu im Web verteilt und besagte Posts über soziale Netzwerke bewirbt.

Mit TDS hat KOOBFACE ein exzellentes Mittel gefunden, um Star-Fans, Online-Daters, gelegentliche Porno-Surfer oder Autofans effizient anzusprechen und sie für ihre Zwecke einzuspannen.

Die KOOBFACE-Bande ist immer noch aktiv und wird auch weiterhin ihre Opfer suchen. Deren Zielplattformen sollten deshalb ihre Sicherheitsmaßnahmen verstärken, um durch Bots automatisierte Interaktion zu unterbinden.

Die Nutzer ihrerseits sind gut beraten, Sicherheitslösungen zu implementieren, die vor solchen Gefahren schützen können. Trend Micros Smart Protection Network schützt die Anwender auch vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service die Spam-Nachrichten blockiert, noch bevor sie die Inbox des Nutzers erreichen. Der Web Reputation Service wiederum verhindert den Zugriff auf bösartige Sites und Domänen, die Malware-infizierte Dateien enthalten.

Eine Alternative wäre, einen Webbrowser einzusetzen, der die mögliche Ausführung von JavaScript-Code verhindert. Das Problem dabei ist, dass damit auch „gutartiger“ Code von legitimen Websites blockiert wird.

Weitere Informationen zu den KOOBFACE-Strategien enthält das Whitepaper “More Traffic, More Money: KOOBFACE Draws More Blood”.