Schlagwort-Archive: Instant Messaging

Wie Schädlinge ihren Netzwerkverkehr tarnen

Originalartikel von Sabrina Sioting, Threat Response Engineer

Cyberkriminelle stecken viel Aufwand in die Weiterentwicklung von Techniken, mit denen sie die Analyse und Entdeckung ihrer Schädlinge zu vermeiden suchen. Sie reagieren auf jede Verbesserung in den Sicherheitsprodukten mit einer weiterentwickelten Technik.
Weiterlesen

Hintertür führt zu Facebook- und Multiprotokoll-IM-Wurm

Originalartikel von Anthony Joe Melgarejo, Threat Response Engineer

Ein neuer Angriff über Facebook und verschiedene Instant Messaging (IM)-Anwendungen führt einen Hintertürschädling (BKDR_LIFTOH.DLF) im Gepäck. Die Malware verbreitet sich über zwei Würmer, wovon der eine eine neue Variante der berüchtigten DORKBOT-Familie darstellt.
Weiterlesen

Gauss auf Streifzug in libanesischen Banken

Originalartikel von Trend Micro

Der Gauss-Angriff hat auch durch denVergleich mit Flame viel öffentliche Aufmerksamkeit auf sich gezogen. Der Schädling kann systembezogene Informationen sammeln sowie Zugangsdaten zu Bankkonten, sozialen Netzwerken, E-Mail und Instant Messaging stehlen. Bedrohungsexperten äußerten auch den Verdacht, es handle sich um einen neuen geheimdienstlich initiierten Angriff, ähnlich Stuxnet in 2010.

Ähnlichkeiten mit Flame

Manche werden sich erinnern, Flame würde als Cyberspionage-Tool bezeichnet, das mithilfe von verschiedenen Techniken, einschließlich dem Abfangen von Screen Shots und Audioaufnahmen, Informationen stiehlt. Ähnlich wie Flame hat Gauss Angriffe in mehreren Staaten des Mittleren Ostens gestartet.

Darüber hinaus haben die beiden Schädlinge einige technische Gemeinsamkeiten:

  • Beide sind in der Programmiersprache C++ geschrieben,
  • nutzen dieselbe .LNK-Schwachstelle aus (CVE-2010-2568),
  • verwenden USB als Speichermedium für die gestohlenen Daten,
  • sind auf den Diebstahl von Browser-History/Cookies ausgerichtet,
  • verwenden dieselbe Verschlüsselungsmethode (XOR) und
  • enthielten ähnliche Command and Control (C&C) Strukturen.

Aus diesen Gemeinsamkeiten schlossen die Sicherheitsforscher, dass Gauss das Werk derselben Leute sei, die auch Flame entwickelt hatten. Doch trotz der Ähnlichkeiten war Gauss darauf ausgerichtet, Informationen von  libanesischen Banken wie etwa Bank of Beirut, BlomBank, ByblosBank, FransaBank und Credit Libanais zu stehlen. Auch zielten die Angriffe des Schädlings des weiteren auf Unternehmen wie Citibank und Paypal. Für einige Fachleute war diese Fokussierung auf libanesische Banken der Beweis dafür, dass der Angriff von einem gewissen Staat unterstützt wurde.

Die Lösungen von Trend Micro schützen die Nutzer vor dieser Art von Angriffen, den die Services des Smart Protection Networks entdecken und löschen die damit verbundene Malware. Auch blocken sie den Zugang zu den C&C-IP-Adressen.

Wurm verbreitet sich über Nachrichten in Facebook und Instant Messengers

Originalartikel von Cris Pantanilla, Threat Response Engineer

In letzter Zeit machten in Facebook Nachrichten die Runde, die einen Link verteilen, der in Form einer verkürzten URL auf eine Archivdatei “May09-Picture18.JPG_www.facebook.com.zip” verweist. Dieses Archiv wiederum enthält eine bösartige Datei namens “May09-Picture18.JPG_www.facebook.com”.


Sobald der Schädling (WORM_STECKCT.EVL) ausgeführt wird, beendet er Antivirus-bezogene Dienste und Prozesse und setzt so AV-Software außer Kraft. Der Wurm verbindet sich auch mit bestimmten Websites, um dahin Informationen zu senden und welche zu empfangen.

Des weiteren lädt der Wurm einen nächsten Wurm (WORM_EBOOM.AC) herunter und führt ihn aus. Dieser zweite Schädling kann die Browser-Aktivitäten des Opfers überwachen, so etwa das Veröffentlichen oder Löschen von Nachrichten sowie die privaten Nachrichten, die an Websites wie Facebook, Myspace, Twitter, WordPress und Meebo geschickt werden. Auch kann er sich über besagte Seiten durch die Veröffentlichung von Nachrichten, die einen Link auf eine Kopie seiner selbst enthalten, verbreiten.

Nutzer sozialer Medien sollten sich gut über die Risiken und deren Vermeidung informieren, etwa im „A Guide to Threats on Social Media“. Aufgrund der neuen Partnerschaft von Trend Micro mit Facebook sind die Anwender über das Smart Protection Network vor diesen Gefahren geschützt, denn die Sicherheitsinfrastruktur blockt den Zugriff auf die damit in Zusammenhang stehenden bösartigen Links. Zudem erkennt und löscht der Datei-Reputationsdienst beide Schädlinge.

 

“Fotos” über Instant Messengers und Facebook führen zu Malware

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Cyberkriminelle haben eine neue Angriffswelle mit Schadsoftware, die über Facebook, Yahoo! Messenger und Windows Live Messages verbreitet wird, gestartet. Die Opfer erhalten folgenden Text:

Foto http://{BLOCKED}otoon.com/photo.php?={random numbers}

Ähnliche Angriffe über soziale Netzwerke hat es schon etliche gegeben, etwa „Verkürzte URLs in IM-Apps führen zu einem Wurm“ oder „URL Shortener nutzt gefälschten Facebook-Link für Malware-Verbreitung“.

Es handelt sich um eine klassische Taktik der Cyberkriminellen. Die Trend Micro-Spezialisten haben für diesen Angriff den Wurm WORM_IRCBOT.PHT ausmachen können. Die Routinen des Wurms sind nicht besonders innovativ, doch schmälert dies das Risiko nicht. Zusätzlich zur Aussendung der Nachrichten, über die er sich verbreitet, verbindet sich der Wurm auch mit verschiedenen IRC (Internet Relay Chat) Servern. Damit werden die Systeme der Nutzer effektiv zu Teilen eines Botnetzes, das die Kriminellen dazu verwenden, um Befehle an das System zu schicken, einschließlich zum Herunterladen weiterer bösartiger Dateien. Auch wird die Homepage des Browsers von WORM_IRCBOT.PHT verändert.

Kürzlich berichtete The Register, dass IRC-basierte Botnetze wie das oben beschriebene „aussterben“, doch zeigt der Vorfall, dass die Gefahr immer noch präsent ist. Auch verändern die Malware-Autoren ständig ihre Taktiken, um mit den Nutzertrends mitzugehen, also auch mit sozialen Medien.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network geschützt. Die Content-Sicherheitsinfrastruktur hat nicht nur die bösartigen Dateien aufgespürt, sondern auch die Websites, die den Wurm hosten, blockiert.