Es gibt viele Arten der Untersuchung einer Bedrohung mithilfe unterschiedlicher Sachkenntnis – vor allem, wenn es sich um eine Gefahr handelt, die mehrere Schädlinge einbezieht und eine ziemlich robuste C&C (Command & Control)-Infrastruktur verwendet. Doch unabhängig davon, ob Reverse Engineering oder die Analyse der Botnet-Infrastruktur eingesetzt wird, das wichtigste Ziel ist, die Bedrohung an sich zu verstehen.

Trend Micro ist in der glücklichen Lage, einige Experten in seinen Reihen zu haben, die diese Herausforderung mit verschiedenen Mitteln angehen können. Deren technische Analyse und die benötigte Sorgfalt bei der Überwachung der Koobface-Aktivitäten führte zu einem gründlichen Verständnis des Botnets. Somit war Trend Micro in der Lage, zu reagieren und eine angemessene Lösung für den Schutz der Kunden zu liefern.

Koobface auf dem Höhepunkt

Zu seinen besten Zeiten, war Koobface als Schadsoftware bekannt, die sich ĂĽber das sich (zu der Zeit) rasant entwickelnde soziale Netzwerk Facebook verbreitete. Doch natĂĽrlich steckte mehr dahinter.
2008 bis 2009 war Facebook gerade dabei, sich von den anderen sozialen Netzwerken wie Myspace, Twitter, Friendster oder myyearbook abzugrenzen und die Vorherrschaft zu übernehmen. Trend Micros erstes Forschungspapier zu Koobface lieferte eine detaillierte Darstellung dazu, dass der Schädling nicht allein Facebook für seine Verbreitung nutzte, sondern auch andere damals beliebte soziale Netzwerke. Auch zeigten die Sicherheitsforscher auf, wie ein mit dem Koobface-Schädling infiziertes System weitere Malware installiert, die dann entweder dazu genützt wird, um infizierten Nutzer-Verkehr zu Geld zu machen oder um die betroffene Maschine in die Koobface C&C-Infrastruktur mit einzubinden.

Koobface und das C&C

Trend Micros zweites Forschungspapier beschäftigte sich ausführlich mit der C&C-Infrastruktur und -Kommunikation. Die Experten konnten die verschiedenen Kontrollebenen in der Koobface-Bande nachvollziehen – von der feingranularen Kontrolle der Social Engineering-Nachrichten, die der infizierte Nutzer als Spam verschickte, bis zu den verschiedenen Komponenten, Konten, Infrastrukturen und Befehlen, die der Bande zur Verfügung standen.

In dieser Phase gelang es den Sicherheitsforschern von Trend Micro, das C&C-Protokoll sowie die Befehle zu entziffern und die Botnet-Aktivitäten zu überwachen. Sie entdeckten die Facebook- und Google-Konten, die die Kriminellen kontrollierten und entkräfteten die Theorie, dass die Bad Guys billige Arbeitskräfte in Indien für das Knacken von CAPTCHAS beschäftigen. Auch stellten sie fest, dass die Leute hinter Koobface jeden Versuch, das Botnet kaltzustellen, unterliefen.

Noch fehlte aber die Antwort auf die zentrale Frage nach den Vorteilen fĂĽr die Gang.

Koobface als Goldesel

Die Antwort auf diese Frage kam durch den Beweis, dass die Koobface-Bande in kriminelle Machenschaften verwickelt war, so etwa FakeAV-Installationen, Click-Betrug, Informationsdiebstahl und Online-Dating.

An diesem Punkt der Untersuchung wandten sich die Forscher für eine Zusammenarbeit an die breitere Sicherheits-Community, denn eine so große Aktion wie die um Koobface bedarf auch der Kenntnisse anderer Forscher, Ermittler und Organisationen. Trend Micro arbeitete mit unabhängigen Ermittlern wie Jan Droemer zusammen, ebenso mit Facebook und Google oder auch mit den Sicherheitsforschern von Kaspersky und Sophos. Dass auch mehrere Polizeibehörden involviert waren, ist selbstverständlich.

Die Entwicklung von Koobface

Ein nächstes Forschungspapier beschrieb, wie die Koobface-Bande die C&C-Architektur und die Malware-Binaries veränderte sowie die Backend-Dienste verbesserte, um sich gegen Schließungen und das Aufdecken ihrer Aktivitäten zu schützen.

Vor ein paar Wochen dann kam das bislang letzte Papier heraus, das zeigte, wie die Kriminellen sich den strengen Sicherheits-Checks von Facebook anpassen, indem sie auf Twitter und Blogspot umschwenken und TDS (Traffic Direction Systems) fĂĽr ihre Zwecke nutzen.

Verfrühte Veröffentlichung

Die Beteiligten hielten die ganzen Daten zu den Untersuchungen und Nachforschungen geheim, um die laufenden Ermittlungen nicht zu gefährden. Doch leider veröffentlichte ein Blogger wichtige Informationen bezüglich der Koobface-Ermittlung, und zwar ohne sich mit den Beteiligten abzusprechen. Dies geschah, bevor es zu den gewünschten Ergebnissen kommen konnte (etwa Verhaftungen).  Die langsamen Ermittlungen sind verständlich, geht es doch um Beweise, die vor Gericht Bestand haben müssen. Es bleibt zu hoffen, dass trotz der aktuellen Situation die Ermittlungen zu einem guten Ende kommen und die Kriminellen ihrer gerechten Strafe nicht entgehen.

Trend Micro-Forscher Jonell Baltazar, Ryan Flores, Joey Costoya und Nart Villenueve haben erhebliche Anstrengungen unternommen, um die Koobface-Bedrohung zu untersuchen.  In diesem Whitepaper beschreibt Sophos ebenfalls die Entwicklung der Aktion Koobface.

Quelle: Google Blog

Der Suchmaschinenbetreiber warnt auf diese Weise die Nutzer vor einer möglichen Infektion ihrer Computer mit der Variante eines Fake-AV-Schädlings. Darunter versteht man ein gefälschtes Antivirenprogramm, das vorgibt, verdächtige oder schädliche Dateien zu finden, und dann die eingeschüchterten Anwender zur Kasse bittet sowie die Rechner der Opfer unter Umständen mit weiterer bösartiger Software infiziert.

Diesen Betrugsversuch entdeckte Google, weil die damit infizierten Computer verdächtige Daten über eine Reihe von Proxy-Servern an den Suchmaschinenbetreiber geschickt hatten, woraufhin dieser zum ersten Mal seine neue Sicherheitsfunktion mit der Warnmeldung aktivierte. Das Unternehmen geht von einigen Millionen betroffener Maschinen aus.

„Die neue Sicherheitsfunktion ist auf jeden Fall ein guter Anfang, um zumindest eine bestimmte Art von Schadsoftware darüber zu erkennen“, betont Christian Klein, Senior Sales Engineer bei Trend Micro. Das Problem dabei: Anders als ein ISP, der im Falle einer Infektion von Kunden diesen eine Mail oder gar einen Brief schicken kann, hat Google nur die Möglichkeit, eine Warnung über einen Browser anzuzeigen, so der Experte. „Das bedeutet, dass Bad Guys so eine Warnmeldung fälschen können, um den Nutzern auf diesem Wege bösartige Software unterzujubeln.“ Dieses Problem hat auch Google erkannt und äußert sich dazu im eigenen Blog: „Die Warnmeldung erscheint immer oben auf der Ergebnisseite. Will jemand die Nachricht fälschen, so müsste er erst diesen Computer infizieren, also besteht keine Gefahr für weitere Nutzer.“

Googles Sicherheitsbewusstsein scheint größer zu werden. Vor kurzem erst hatte Google aus Sicherheitsgründen bereits Websites mit der Second-Level-Domäne (SLD) *.CO.CC von seinen Suchergebnissen ausgeschlossen.

Gestern gab es bei Facebook ein paar wichtige Ă„nderungen zum Erstellen von Facebook Pages, also der Fanseiten von Marken, Bands oder auch Gurken.

Früher gab es zwei Möglichkeiten, um Registerkarten auf diesen Seiten anzulegen. Die erste Möglichkeit war die Facebook-App „FBML“. Mit statischem FBML- oder HTML-Code richtete man Registerkarten für die Seite ein – nicht gerade spannend, aber doch sehr einfach in der Anwendung. Bei der zweiten Methode konnte man einer solchen Standard-FBML-Registerkarte noch eine benutzerdefinierte Facebook-App hinzufügen. Diese App konnte externe Daten von Dritten abfragen und auf der Registerkarte anzeigen. Der Content unterlag jedoch zahlreichen technischen Beschränkungen, da seine Bereitstellung über Facebook erfolgte und dadurch beispielsweise Tracking-Pixel, JavaScript und Flash nicht mehr richtig angezeigt wurden.

Worin besteht jetzt also die großartige Neuerung? Facebook lässt nun auch iFrames innerhalb von Facebook-Apps zu. Das heißt, dass Facebook nicht mehr als Proxy agieren muss. Nun können sich natürlich alle seriösen Entwickler freuen – es erleichtert aber auch denen das Leben, die mit eher bösartigen Absichten unterwegs sind.

Man kann jetzt also eine Facebook Page einrichten und standardmäßig eine Registerkarte für die Startseite anlegen, die eine App mit einem iFrame enthält. Dieses iFrame wiederum enthält ein JavaScript, das Sie sofort und ohne jedes Eingreifen Ihrerseits auf eine Website seiner Wahl weiterleitet. So eine Seite könnte zum Beispiel gefälschte Antiviren-Software enthalten oder ein Exploit-Kit, das nur darauf wartet, Sie mit Malware zu infizieren.

Es braucht als keine „Gefällt mir“-Entführung mehr; man muss keine Benutzer mehr dazu überreden, die eigene App zu installieren – jetzt brauchen Kriminelle nur noch einen entsprechend verlockenden Köder auszulegen, damit man ihre Seite aufruft. Das reicht dann aus, um die Kettenreaktion auszulösen, durch die Ihr Computer infiziert und für kriminelle Machenschaften missbraucht wird.

Natürlich bittet Facebook seine Entwickler, einen Verhaltenskodex zu befolgen, der solche Aktivitäten verbietet; aber wenn es um Kriminelle geht, ist es ein bisschen so, als würde man jemandem, der auf Spritztouren steht, seinen Führerschein wegnehmen.

Facebook wurde ĂĽber diese Schwachstelle in der neuen Funktion bereits informiert.

Das in der Sicherheitsbranche am heftigsten diskutierte Thema des abgelaufenen Jahres war Stuxnet. Zum Teil ist diese hohe Aufmerksamkeit berechtigterweise der Raffinesse des Angriffs geschuldet, zu einem guten Teil jedoch auch der Spekulation über einen Cyber-Krieg, möglichen Verbindungen zu Israel und dem Iran sowie über die außenpolitischen Auswirkungen von Stuxnet. Aber diese Medienwirksamkeit hat auch dazu geführt, dass das Problem eine gewisse Unschärfe erlangte.

Zweifelsohne stellt Stuxnet eine sehr ausgeklügelte Malware dar, deren Entwicklung erhebliche Ressourcen bezüglich Zeit, Geld und Personal gefordert hat. Dennoch waren die meisten Nutzer nicht signifikant betroffen, auch wenn sich die Malware weltweit auf eine Menge von Systemen breit gemacht hat – ohne aber große Probleme zu bereiten. Die Schadsoftware stahl keine Informationen, pries keine gefälschten Antivirusprodukte an und verschickte auch keine Spam-Nachrichten.

Es ist auch nicht ganz richtig zu behaupten, Stuxnet läute eine neue Ära der Malware-Bedrohungen ein, die Einrichtungen der „echten Welt“ betreffen. Bereits 2003 hatte der Slammer-Wurm eine nukleare Einrichtung in Ohio angegriffen und das Überwachungssystem abgeschaltet. Auch der DOWNAD/Conficker-Wurm hatte markante Institutionen wie Krankenhäuser, Strafverfolgungsbehörden und verschiedene militärische Einrichtungen getroffen. Was man über Stuxnet sagen kann, ist, dass es zum ersten Mal jemand für wichtig gehalten hat, die SCADA-Plattform eines bestimmten Anbieters anzupeilen. Die dafür nötige Technik war bereits vorhanden, doch bis dahin fehlte die Motivation.

Diese Art von Schadsoftwareangriffen sind selten in der heutigen Bedrohungslandschaft. Informationsdiebstahl stellt immer noch das größte Problem dar, und die dazu benötigte Malware wird von den Trend Micro-Spezialisten täglich entdeckt. Auf jede Stuxnet-Infektion kommen heutzutage Tausende Vorfälle mit Malware wie Zeus und SpyEye, die Zugangsdaten stiehlt.

Von Stuxnet kann man zweierlei lernen: Für Kontrollsysteme der Industrie, wie die von Stuxnet angegriffenen, sollte der Vorfall ein Weckruf sein. Denn diese Systeme waren in ihren Netzwerken nicht gut gesichert. Man kann davon ausgehen, dass Perimeter-Sicherheit ausgereicht hätte. Schließlich ist ein Netzwerk nur so sicher, wie sein schwächstes Glied. Aus diesem Grund werden Computer und Netzwerke, die zu diesen Kontrollsystemen gehören, auf allen Ebenen „gehärtet“ werden müssen. Die Anwendungen von Drittanbietern, die häufig von Exploit attackiert werden, müssen immer auf aktuellem Stand gehalten oder unter Umständen ganz entfernt werden. Auch Angriffe über Wechselmedien wie USB-Laufwerke müssen in punkto Sicherheit mit einbezogen werden.

Nutzer, die nicht für kritische Systeme verantwortlich sind, sollten die Gefahr, die von Stuxnet ausgeht, in den adäquaten Kontext setzen. Der Diebstahl von Zugangsinformationen durch Malware stellt eine viel höhere Gefahr dar, während Angriffe die auf kritische Systeme abzielen, wahrscheinlich nicht mehr als genau das sind – sie zielen darauf ab.

Cyberkriminelle können sich 2011 auf ein sehr profitables Jahr freuen – angesichts des zunehmenden Einsatzes mobiler Geräte und der steigenden Zahl von Betriebssystemen im Unternehmenseinsatz. Verstärkt kommen auch Social-Engineering-Taktiken zum Einsatz: Anwender werden immer mehr personalisierten Attacken ausgesetzt sein, wobei die Angriffe subtiler und die Website-Infektionen „von der Stange“ abnehmen werden. Hauptquelle bleibt das Internet. Untersuchungen der Virenanalysten von Trend Micro ergaben, dass sich mehr als 80 Prozent der gängigsten Malware über das Web verbreiten und so auf die Systeme der Benutzer gelangen (Quelle: Untersuchungen der TrendLabs, des globalen Netzwerks aus Forschungs- und Support-Zentren von Trend Micro, zwischen April und September 2010).

Noch sind dank der Vielfalt mobiler Geräte nicht viele Angriffe darauf zu verzeichnen. Aber da die Marktanteile neuer Plattformen steigen, wird die Malware-Industrie auf der Suche nach Sicherheitslücken und Designfehlern in den neuen Systemen ihre Angriffe darauf konzentrieren. So gibt es beispielsweise bereits ein Proof-of-Concept für Android, auch sind erfolgreiche Angriffe auf Google Android zu erwarten. Generell lässt sich feststellen, dass es innerhalb der Szene eine weitere Konsolidierung geben wird, denn Gruppen werden sich zusammenschließen oder ihre Kräfte bündeln, während die öffentliche Aufmerksamkeit für Cyber-Attacken wachsen wird.

Cloud Computing und Virtualisierung bieten viele Vorteile und sorgen für erhebliche Kostensenkungen. Doch weil dadurch Server nach außerhalb der traditionellen Sicherheitsperimeter verlagert werden, steigen die Risiken. Es bieten sich mehr Angriffsflächen für Cyberkriminelle, und auch die Sicherheitsanforderungen an Cloud-Service-Provider steigen. Die Experten von Trend Micro erwarten für das kommende Jahr einen Anstieg bei Proof-Of-Concept-Angriffen auf Cloud-Infrastrukturen und virtuelle Systeme. Angesichts des Aufbrechens der Desktop-Monokultur werden Cyberkriminelle Angriffe auf die in der Cloud vorherrschende Monokultur starten, um herauszufinden, wie sie diese erfolgreich infiltrieren und für ihre Zwecke missbrauchen können.

Social Engineering und damit das Ausnützen menschlicher Gutgläubigkeit im Unternehmen, um an vertrauliche Informationen zu kommen, wird auch 2011 eine große Rolle bei der Verbreitung von Bedrohungen spielen. Nach Einschätzung der Experten von Trend Micro wird es im kommenden Jahr eine Zunahme an personalisierten Attacken mithilfe solcher Taktiken geben. Das heißt, die Angriffe werden subtiler, während die Website-Infektionen „von der Stange“ und die zum Anklicken verleitenden infizierten Webseiten weniger werden.

Angesichts der Browser-Vielfalt und der immer bewusster agierenden Anwender, die beispielsweise die NoScript-Option in Firefox nutzen, sind einige der herkömmlichen Angriffsvektoren nicht mehr so effektiv für die Malware-Industrie, beispielsweise Sicherheitslücken im Browser oder die Infiltration von Web-Servern. Aus diesem Grund nutzen Cyberkriminelle immer mehr Social-Engineering-Tricks und verleiten die Benutzer dazu, etwas „Sinnvolles“ herunterzuladen. So lassen sich sogar vollständig gepatchte und gesicherte Systeme infiltrieren, warnen die Experten von Trend Micro.

Immer mehr geraten auch mittelständische Unternehmen ins Fadenkreuz der Cyberkriminellen. Diese bedienen sich dabei illegaler Toolkits, deren Verbreitung im Jahr 2010 geradezu explosionsartig zunahm. Sie machen es leichter, bestimmte Unternehmensarten anzugreifen. So galten die Angriffe mit ZeuS aus dem gerade abgelaufenen Jahr in erster Linie kleinen Unternehmen. Derartig zielgerichtete und an die jeweiligen Bedingungen angepasste Angriffe werden aller Voraussicht nach weiter zunehmen und dabei immer raffinierter werden, wobei sowohl bekannte Markenunternehmen als auch wichtige Infrastrukturen Ziel sein könnten. Auch die Sicherheitsanbieter selbst werden 2011 sehr wahrscheinlich Ziel von Angriffen werden, um so Verwirrung und Unsicherheit unter den Nutzern zu stiften.

Gefälschte Antivirus-Tools, auch FAKEAV genannt, sind zu einer erheblichen Gefahr geworden und immer mehr Nutzer fallen dieser profitablen Betrügerei zum Opfer. Zwar arbeiten die Sicherheitsanbieter hart daran, Anwender vor dieser Gefahr zu schützen, doch gehört das Wissen über diesen Betrug ebenso zu einem effektiven Schutz wie die technischen Lösungen. Nachfolgend ein paar Tipps, wie man ein gefälschtes Antivirusprogramm oder ähnliche Internet-Betrugsversuche erkennen kann.

Ein Antivirusprogramm, das sich selbst installiert und dann den PC „scannt“, ohne der Zustimmung des Nutzers, ist höchstwahrscheinlich ein Betrug.

Wenn die Kriminellen Suchmaschinen infizieren, sodass bestimmte Ergebnisse auf gefälschte Antivirusseiten zeigen, so sehen die Nutzer Warnungen, wie die folgende:

Klickt der Nutzer auf OK, so erlaubt er der Malware, sich selbst auf dem PC zu installieren und das System sofort zu scannen. Echte Antivirusanwendungen arbeiten nie auf diese Weise. Nutzer haben immer die Kontrolle ĂĽber die Anwendung, und die Software fragt vor der Installation und dem Scannen explizit um Erlaubnis. Gibt es also ein Antivirusprogramm auf dem eigenen PC, das man nicht selbst installiert hat, so ist die Wahrscheinlichkeit hoch, dass es sich um Betrug handelt.

Antivirus-Software versucht, den Nutzer nicht zu stören.

Früher waren diese Anwendungen störend, vor allem wenn sie verdächtige Dateien gefunden hatten. Heutzutage jedoch haben die Sicherheitsanbieter die Benutzerschnittstellen ihrer Programme so verbessert, dass sie den Nutzer nicht tangieren. FAKEAV-Anwendungen aber nutzen absichtlich laute und störende Alerts, um Panik unter den Nutzern zu verbreiten.

Wird der Nutzer ständig daran erinnert, ein Produkt zu aktivieren, so ist es eine Fälschung.

Neue gefälschte Antivirus-Varianten haben sehr professionell wirkende Schnittstellen, doch sollten Nutzer gewarnt sein, wenn alles Nützliche einer Software-Aktivierung erfordert. Der Grund dafür liegt darin, dass das Hauptziel der Profit ist, und die beste Art an das Geld zu kommen, ist über Nutzer-Aktivierung. Die folgende Illustration zeigt ein Beispiel einer Aktivierungsseite für eine gefälschte Antivirus-Anwendung:

Damit im Zusammenhang steht eine weitere Möglichkeit, eine echte von einer falschen Antivirus-Anwendung zu unterscheiden: Echte Programme bieten an, jede Gefahr, die sie finden, sofort zu beseitigen, und wollen nicht erst Geld dafür haben. Beispielsweise funktionieren die Testangebote für Trend Micros Titanium 30 Tage ganz normal. FAKEAV-Anwendungen hingegen verlangen erst die Bezahlung für imaginäre Probleme, die sie angeblich gefunden haben.

Die Suchmaschine ist ein Freund.

Es gibt einen Internet-Spruch, der besagt, „alles ist nur einen Google-Suchlauf entfernt“. Scheint etwas verdächtig, so ist es dies wahrscheinlich auch, und der Nutzer sollte online Informationen dazu einholen, etwa den Produktnamen und die dazu gehörige Seite des Anbieters.

Die Produkte von Trend Micro sind alle in der Lage, gefälschte Antivirus-Software zu erkennen und zu entfernen. Auch für die Nutzer, die nicht Trend Micro-Kunden sind, gibt es kostenlose Tools, die FAKEAV-Infektionen beseitigen. Das Fake Antivirus Removal Tool ist kostenlos und wurde auf die Beseitigung der Gefahr im Zusammenhang mit FAKEAV zugeschnitten. Es scannt auf verdächtige Prozesse, Dateien, Ordner und Registry-Einträge, um gefälschte Antivirus-Software von Grund auf zu entfernen.

Weltweit berichten die Nachrichtendienste über den Angriff Nordkoreas auf Südkorea, und wie nicht anders zu erwarten nutzen auch die Cyberkriminellen diese schlimmen Ereignisse für ihre Zwecke, um gefälschte Antivirus-Tools zu verbreiten. Innerhalb von wenigen Stunden nach den ersten Zwischenfällen waren bereits bestimmte, Korea betreffende Suchbegriffe infiziert.


Der Google Preview der Seite zeigt deren angeblichen Inhalt. Sobald das angebotene Suchergebnis angeklickt wird, öffnen sich jedoch diese (bekannten) Seiten:

Diese Malware, die die Sicherheitsexperten von Trend Micro als TROJ_FAKEAV.SMRY identifiziert haben, leitet die Nutzer auf verschiedene Seiten um, je nachdem, welche Browser sie nutzen. Ähnliche Techniken werden auch im Blog „FAKEAV nutzt verstärkt Java-Sicherheitslücken und verfeinerte gefälschte Alerts“ dargestellt.

Die Anwender der Trend Micro-Produkte sind über das Smart Protection Network vor diesen Gefahren geschützt, denn die Sicherheitsinfrastruktur erkennt mithilfe der Reputationsdienste die bösartigen Sites und Dateien, bevor diese das System des Nutzers erreichen.

In letzter Zeit sind Angriffe auf Java-Sicherheitslücken wieder stärker in den Mittelpunkt der Aufmerksamkeit gerückt. Letzte Woche beschrieb der Sicherheits-Blogger Brian Krebs, wie Exploit-Pakete Java nutzen. Auch zitierte er Microsoft, die vor einer „noch nie da gewesenen Welle“ der Java-Exploits gewarnt hatten.

Die Security Researcher von Trend Micro bestätigen ebenfalls die steigende Nutzung von so genannten FAKEAV Brückenseiten, die Java-Lücken ausnutzen. Diese Technik setzt Blackhat Engine Optimizaton (SEO) ein, um infizierte Seiten als “Türöffner” (Doorways) für die Verteilung von FAKEAV zu benutzen. Wo diese Schwachstellen nicht ausgenutzt werden können, werden PDF-Exploits stattdessen herangezogen. Trend Micro hat besagte PDF- und Java-Exploits als TROJ_PIDIEF.HLL beziehungsweise JAVA_LOADER.HLL identifizieren können.
Analysen der mit FAKEAV in Verbindung stehenden Brückenseiten zeigen, dass die bösartigen URLs, welche die Payloads hosten (Java- und PDF-Exploits) entweder das Seo Sploit Pack oder das Phoenix Exploit Pack nutzen. Außerdem wird die tatsächliche Payload nicht in den Brückenseiten gehostet. Die am Ende stehende URL ist das Ergebnis einer Reihe von Weiterleitungen, die von den Brückenseiten ausgehen. Diese Weiterleitungen ändern sich regelmäßig und bestimmen, wo sich die nächste Payload-URL befindet.

Zwei Sicherheitslücken werden auf diese Weise besonders häufig missbraucht:

• CVE-2008-5353
• CVE-2009-3867

Doch dies ist nicht die einzige Art, wie FAKEAV neuerdings in Erscheinung tritt. Browser-spezifische Payloads und Seiten sind nicht neu, doch werden diese Seiten immer mehr „aufgemöbelt“. Die Abbildungen zeigen zwei Beispiele dieser Art von Seiten – eine für den Internet Explorer und eine weitere für Firefox:

Beide Seiten ahmen die tatsächliche Schnittstelle der beiden Browser perfekt nach. Im Fall von Firefox ist nicht nur das Site-Design perfekt sondern auch die Browser-Version für ein bestimmtes System ist richtig. Damit werden Nutzer noch einfacher in die Irre geführt.

Die gefälschten Viren-Alerts selbst sind auf zwei Arten weiter entwickelt worden. Online-FAKEAV-Varianten verstecken ihren Code sehr gut und nutzen AES, um ihn zu verschlüsseln. Lokale FAKEAV-Varianten wiederum setzen auf Audio-Warnungen als Teil ihrer Verhaltensweise. Die Hauptschnittstelle hat sich nicht wirklich geändert, aber es gibt einen neuen Icon für die „Pille“.

Alle diese Entwicklungen deuten darauf hin, dass die Kriminellen hinter der gefälschten Antivirus-Software ihre Techniken weiter entwickeln, auch wenn sie nicht im Scheinwerferlicht stehen. Die Anwender der Trend Micro-Produkte sind über das Smart Protection Network vor diesen Gefahren geschützt, denn die Sicherheitsinfrastruktur erkennt mithilfe der Reputationsdienste die bösartigen Sites und Dateien, bevor diese das System des Nutzers erreichen.

Beim Entpacken eines in einer bösartigen PDF-Datei versteckten JavaSkripts erhielten die Security Researcher von Trend Micro folgende Google-Suchergebnisse fĂĽr “JavaScript Unpacker”:

Eine der in den Ergebnissen aufgefĂĽhrte JavaScript Unpacker Sites war infiziert, und wahrscheinlich als Teil einer Blackhat SEO-Kampagne (Search Engine Optimization) landete man schlieĂźlich auf einer Seite, die als FAKEAV-Warnung diente.

Die ĂĽbliche darauf folgende FAKEAV-Routine schloss mit einer Meldung, das System des Opfers sei infiziert worden.

JavaSkript Unpacker werden sehr häufig von professionellen Nutzern, vor allem Security Researchern, eingesetzt. Deshalb ist es eigentlich nicht zu verstehen, wozu eine solche Site infiziert werden sollte. Es ist sehr unwahrscheinlich, dass die Besucher auf den FAKEAV-Schwindel hereinfallen.

Die Anwender von Trend Micro-Produkten sind vor dieser Art von Angriffen ĂĽber das Smart Protection Network geschĂĽtzt, denn diese Sicherheitsinfrastruktur blockiert ĂĽber den Webreputationsdienst die in den Angriff involvierten Website, erkennt auch die FAKEAV-Varianten und verhindert deren Download auf die Systeme der Anwender.

FAKEAV-Malware wird mittlerweile wie als ganz normales Geschäft betrieben, und das trotz der hohen Aufmerksamkeit von Seiten der Medien. Trend Micro-Sicherheitsforscher haben drei wichtige Aspekte – nämlich Social Engineering-Techniken, FAKEAV-Techniken und das Geschäft mit der Malware — untersucht, um herauszufinden, warum diese berĂĽchtigte Malware sich so hartnäckig behaupten kann.

Social Engineering stellt die überwiegend genutzte Technik für die Weiterentwicklung böswilliger Aktivitäten dar, sowohl online als auch offline. FAKEAV ist ein gutes Beispiel für eine Online Social Engineering-Erfolgsstory. Die Malware nutzt menschliche Schwächen aus und setzt Techniken wie „Black Hat“ Search Engine Optimization (SEO) ein, um Nutzer auszutricksen.

Hinter professionell wirkenden Benutzerschnittstellen, störenden Pop-ups und sonstigen Scareware-Taktiken von FAKEAV steckt eine einfache Technologie. Man kann daher sagen, dass die FAKEAV-Technik eher trickreich als komplex ist. Aber ungeachtet der Einfachheit der Technik spielt sie eine erfolgskritische Rolle für die Social Engineering Malware-Taktik.

Natürlich ist eine böswillige Kampagne sinnlos, wenn sie den Betreibern nichts bringt. Im FAKEAV-Geschäft geht es um hohe Einsätze, denn neben den 40 bis 100 Dollar, die die Nutzer als Preis für eine Schwindelsoftware zahlen, geht es vor allem um Informationsdiebstahl.

Weitere Einzelheiten zu den Aspekten gibt es im Security Spotlight Artikel “Why FAKEAV Persists”.