Schlagwort-Archive: KOOBFACE

Masque Attack missbraucht das Code Signing in iOS für Fälschungen

Von Trend Micro

Masque Attack wurde 2014 zum ersten Mal gesehen und erlaubte Hackern eine echte App aus dem App Store durch eine manipulierte, unternehmenssignierte App mit demselben Bundle Identifier (Bundle ID) zu ersetzen. Apple schloss die dafür verantwortlichen Sicherheitslücken (CVE-2015-3772 und CVE-2015-3725). Doch während der Anbieter eine Tür zuschlug, schienen die Betrüger ein Fenster geöffnet zu haben. Haimas umpaketierte, Adware-verseuchten Apps sowie die native Helper Application beweisen, dass Betrüger immer noch im App Store ihren Geschäften nachgehen.
Weiterlesen

Die Koobface-Saga

Originalartikel von Trend Micro

Es gibt viele Arten der Untersuchung einer Bedrohung mithilfe unterschiedlicher Sachkenntnis – vor allem, wenn es sich um eine Gefahr handelt, die mehrere Schädlinge einbezieht und eine ziemlich robuste C&C (Command & Control)-Infrastruktur verwendet. Doch unabhängig davon, ob Reverse Engineering oder die Analyse der Botnet-Infrastruktur eingesetzt wird, das wichtigste Ziel ist, die Bedrohung an sich zu verstehen.

Trend Micro ist in der glücklichen Lage, einige Experten in seinen Reihen zu haben, die diese Herausforderung mit verschiedenen Mitteln angehen können. Deren technische Analyse und die benötigte Sorgfalt bei der Überwachung der Koobface-Aktivitäten führte zu einem gründlichen Verständnis des Botnets. Somit war Trend Micro in der Lage, zu reagieren und eine angemessene Lösung für den Schutz der Kunden zu liefern.

Koobface auf dem Höhepunkt

Zu seinen besten Zeiten, war Koobface als Schadsoftware bekannt, die sich über das sich (zu der Zeit) rasant entwickelnde soziale Netzwerk Facebook verbreitete. Doch natürlich steckte mehr dahinter.
2008 bis 2009 war Facebook gerade dabei, sich von den anderen sozialen Netzwerken wie Myspace, Twitter, Friendster oder myyearbook abzugrenzen und die Vorherrschaft zu übernehmen. Trend Micros erstes Forschungspapier zu Koobface lieferte eine detaillierte Darstellung dazu, dass der Schädling nicht allein Facebook für seine Verbreitung nutzte, sondern auch andere damals beliebte soziale Netzwerke. Auch zeigten die Sicherheitsforscher auf, wie ein mit dem Koobface-Schädling infiziertes System weitere Malware installiert, die dann entweder dazu genützt wird, um infizierten Nutzer-Verkehr zu Geld zu machen oder um die betroffene Maschine in die Koobface C&C-Infrastruktur mit einzubinden.

Koobface und das C&C

Trend Micros zweites Forschungspapier beschäftigte sich ausführlich mit der C&C-Infrastruktur und -Kommunikation. Die Experten konnten die verschiedenen Kontrollebenen in der Koobface-Bande nachvollziehen – von der feingranularen Kontrolle der Social Engineering-Nachrichten, die der infizierte Nutzer als Spam verschickte, bis zu den verschiedenen Komponenten, Konten, Infrastrukturen und Befehlen, die der Bande zur Verfügung standen.

In dieser Phase gelang es den Sicherheitsforschern von Trend Micro, das C&C-Protokoll sowie die Befehle zu entziffern und die Botnet-Aktivitäten zu überwachen. Sie entdeckten die Facebook- und Google-Konten, die die Kriminellen kontrollierten und entkräfteten die Theorie, dass die Bad Guys billige Arbeitskräfte in Indien für das Knacken von CAPTCHAS beschäftigen. Auch stellten sie fest, dass die Leute hinter Koobface jeden Versuch, das Botnet kaltzustellen, unterliefen.

Noch fehlte aber die Antwort auf die zentrale Frage nach den Vorteilen für die Gang.

Koobface als Goldesel

Die Antwort auf diese Frage kam durch den Beweis, dass die Koobface-Bande in kriminelle Machenschaften verwickelt war, so etwa FakeAV-Installationen, Click-Betrug, Informationsdiebstahl und Online-Dating.

An diesem Punkt der Untersuchung wandten sich die Forscher für eine Zusammenarbeit an die breitere Sicherheits-Community, denn eine so große Aktion wie die um Koobface bedarf auch der Kenntnisse anderer Forscher, Ermittler und Organisationen. Trend Micro arbeitete mit unabhängigen Ermittlern wie Jan Droemer zusammen, ebenso mit Facebook und Google oder auch mit den Sicherheitsforschern von Kaspersky und Sophos. Dass auch mehrere Polizeibehörden involviert waren, ist selbstverständlich.

Die Entwicklung von Koobface

Ein nächstes Forschungspapier beschrieb, wie die Koobface-Bande die C&C-Architektur und die Malware-Binaries veränderte sowie die Backend-Dienste verbesserte, um sich gegen Schließungen und das Aufdecken ihrer Aktivitäten zu schützen.

Vor ein paar Wochen dann kam das bislang letzte Papier heraus, das zeigte, wie die Kriminellen sich den strengen Sicherheits-Checks von Facebook anpassen, indem sie auf Twitter und Blogspot umschwenken und TDS (Traffic Direction Systems) für ihre Zwecke nutzen.

Verfrühte Veröffentlichung

Die Beteiligten hielten die ganzen Daten zu den Untersuchungen und Nachforschungen geheim, um die laufenden Ermittlungen nicht zu gefährden. Doch leider veröffentlichte ein Blogger wichtige Informationen bezüglich der Koobface-Ermittlung, und zwar ohne sich mit den Beteiligten abzusprechen. Dies geschah, bevor es zu den gewünschten Ergebnissen kommen konnte (etwa Verhaftungen).  Die langsamen Ermittlungen sind verständlich, geht es doch um Beweise, die vor Gericht Bestand haben müssen. Es bleibt zu hoffen, dass trotz der aktuellen Situation die Ermittlungen zu einem guten Ende kommen und die Kriminellen ihrer gerechten Strafe nicht entgehen.

Trend Micro-Forscher Jonell Baltazar, Ryan Flores, Joey Costoya und Nart Villenueve haben erhebliche Anstrengungen unternommen, um die Koobface-Bedrohung zu untersuchen.  In diesem Whitepaper beschreibt Sophos ebenfalls die Entwicklung der Aktion Koobface.

Das Geheimnis des wachsenden KOOBFACE-Geschäfts: das Traffic Direction System

Originalartikel von Jonell Baltazar, Senior Threat Researcher

Das KOOBFACE-Botnetz ist dafür berüchtigt, mit dem Pay-per-Install (PPI) und Pay-per-Click (PPC)-Geschäftsmodell Geld zu machen. Allein 2009 verdiente die Bande mehr als zwei Millionen US-Dollar. Doch das scheint nicht genug gewesen zu sein, denn die Kriminellen rüsteten ihr Botnetz-Framework mit einem ausgeklügelten Traffic Direction System (TDS) auf, das den Internet-Verkehr auf von ihnen angegebene Sites lenkt. Darüber hinaus fügten sie neue Komponenten hinzu, um die Menge des Internetverkehrs in Richtung ihres TDS zu steigern. TDS lenkt den Verkehr hauptsächlich auf Werbeseiten um, wofür die Kriminellen nach Anzahl der Clicks bezahlt werden. Folgende Schautafel zeigt die Schritte, über die TDS den Kriminellen Geld in die Kasse spült:

  1. Erzeugen und Registrieren von E-Mail-Adressen: Nachdem KOOBFACE nicht länger automatisch Google-Konten für die bösartigen Aktivitäten erzeugen kann, sind die Kriminellen nun auf Yahoo! Mail-Konten umgestiegen, um so die benötigten Google-Konten zu kreieren.
  2. Erzeugen von Konten in sozialen Netzwerken: Die von KOOBFACE generierten E-Mail-Adressen werden dafür genutzt, um sich bei sozialen Netzwerken wie Twitter, Tumblr, FriendFeed3, FC24, livedoor5, So-net6 und Blogger anzumelden. Einige Konten wurden auch in altervista.org7 generiert. Die vom Botnetz erzeugten Domänen der Blog-Konten enthielten Wörter wie „news“ oder „2011 news“.
  3. Bilder sammeln: Das Botnetz wurde auch um eine neue binäre Komponente angereichert, die vor allem pornografische Bilder, Fotos von Berühmtheiten, Hochzeiten, Tattoes und Autos sowie Hintergrundbilder von Googles Image-Suche sammelt. Diese nutzen die Kriminellen dann in ihren Blog-Veröffentlichungen.
  4. Erstellen von Blog-Veröffentlichungen: Die Bande missbraucht beliebte japanische Blogging-Plattformen wie FC2, Livedoor, So-net, Jugem und Cocolog. Daneben nutzen sie aber auch die bewährte Google Blogger-Site mithilfe einer darauf zugeschnittenen Schadsoftware-Komponente, die Blog-Konten generiert, während andere Inhalte oder Veröffentlichungen von dem Proxy C&C-Server abzieht. Diese Posts werden automatisch auf die Zielplattformen hochgeladen. Sie enthalten Bilder, Links und Schlüsselwörter, die dem SEO-Ranking der entsprechenden Sites zuträglich sind. Zusätzlich verbergen sie auch JavaScript-Code, der auf die TDS-Domäne des Botnetzes weist. So kann das TDS die Zahl der Besuche der einzelnen Blog-Veröffentlichungen nachverfolgen und die Besucher auf die gewünschten Sites umlenken. Das Botnetz verdient Geld mit den Umlenkungen und der Anzahl der Clicks der Opfer während des Lesens der Veröffentlichungen.
  5. Links auf Posts mit möglichst vielen teilen: Die Bande erhöht den Verkehr zu den bösartigen Blog-Veröffentlichungen auch, indem sie aktiv Schlüsselwörter dazu im Web verteilt und besagte Posts über soziale Netzwerke bewirbt.

Mit TDS hat KOOBFACE ein exzellentes Mittel gefunden, um Star-Fans, Online-Daters, gelegentliche Porno-Surfer oder Autofans effizient anzusprechen und sie für ihre Zwecke einzuspannen.

Die KOOBFACE-Bande ist immer noch aktiv und wird auch weiterhin ihre Opfer suchen. Deren Zielplattformen sollten deshalb ihre Sicherheitsmaßnahmen verstärken, um durch Bots automatisierte Interaktion zu unterbinden.

Die Nutzer ihrerseits sind gut beraten, Sicherheitslösungen zu implementieren, die vor solchen Gefahren schützen können. Trend Micros Smart Protection Network schützt die Anwender auch vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service die Spam-Nachrichten blockiert, noch bevor sie die Inbox des Nutzers erreichen. Der Web Reputation Service wiederum verhindert den Zugriff auf bösartige Sites und Domänen, die Malware-infizierte Dateien enthalten.

Eine Alternative wäre, einen Webbrowser einzusetzen, der die mögliche Ausführung von JavaScript-Code verhindert. Das Problem dabei ist, dass damit auch „gutartiger“ Code von legitimen Websites blockiert wird.

Weitere Informationen zu den KOOBFACE-Strategien enthält das Whitepaper “More Traffic, More Money: KOOBFACE Draws More Blood”.

 

Gefahren lauern überall in den sozialen Medien

Originalartikel von Bernadette Irinco (Technical Communications)

Geht es um Gefahren in den sozialen Medien, so denken viele als erstes an die berüchtigte KOOBFACE-Malware, denn der Schädling nutzt diese Plattformen für seine Verbreitung. Kürzlich stellten jedoch die Sicherheitsforscher von Trend Micro fest, dass die Malware nun ein P2P-Netzwerk über gemeinsam genutzte trojanisierte Anwendungsdateien für ihre Zwecke einsetzt.

Doch natürlich stellt KOOBFACE nicht die einzige Gefahr in den sozialen Medien dar. Die folgende Grafik gibt eine Übersicht über die möglichen Bedrohungen:


Zur immanenten Bedrohung können zum Beispiel einige der angebotenen Funktionen in diesen Netzwerk-Sites werden. Ursprünglich dazu gedacht, die soziale Kommunikation effizient und einfach zu gestalten, nutzen Cyberkriminelle sie für ihre fiesen Machenschaften. Ein scheinbar harmloser Pinnwand-Eintrag von einem Freund in Facebook, ein von einem Online-Kontakt empfohlenes Video oder eine Instant Message von einem Kollegen können schon zu einem Angriff führen.

Das e-Book „A Guide to Threats on Social Media“ von Trend Micro zeigt, wie sich der Anwender selbst gegen die Gefahren in den sozialen Medien schützen kann. So warnen die Autoren etwa vor verschiedenen Gefahren in Twitter. Hier besteht unter anderem die Gefahr, dass Kriminelle Konten kompromittieren, um Links auf Phishing-Sites zu platzieren. Auch beim Klicken auf verkürzte URLs sollten Nutzer vorsichtig prüfen, ob es sich um einen legitimen Tweet handelt.

Schließlich umfasst der Ratgeber sechs Tipps, beispielsweise zu den privaten Einstellungen, Gruppieren von Kontakten oder dem Wählen verschiedener Kennwörter für unterschiedliche soziale Netzwerke.

Kopfgelder auf Cyberkriminelle verpuffen wirkungslos

Originalartikel von Rik Ferguson, Director Security Research & Communication EMEA


Quelle: L2F1 Flickr

Bereits seit einiger Zeit werden Belohnungen für Informationen ausgesetzt, die zur Festnahme von wichtigen Schadsoftware-Autoren oder –Betreibern führen. Doch wie erfolgreich waren diese Initiativen bislang?

 

Seit 2003 gibt es schon das Microsoft Anti-Virus Reward-Programm. Es setzt Kopfprämien aus für Informationen, die zur Festnahme etwa der Autoren von Sasser, Sobig, Blaster, Conficker und jetzt Rustock führen. Das Kopfgeld stellt Microsoft zur Verfügung, doch entscheiden die Gesetzeshüter darüber, wer das Geld auch wirklich verdient, abhängig von der Festnahme und Verurteilung der Kriminellen.

 

Doch trotz der Prämienangebote übersteigt die Zahl der ungelösten Fälle die der Erfolge. 2005 teilten sich zwei Leute eine Prämie von 250.000 $ für Informationen, die zur Verurteilung des Vaters des Sasser-Wurms, Sven Jaschan, geführt hatten. Doch scheint dies die Ausnahme zu sein, denn im Zusammenhang mit Sobig und Conficker hat es immer noch keine wertvollen Hinweise gegeben. Microsoft ist nicht das einzige Unternehmen, dass solche Belohnungen anbietet. Bereits 2004 hatte SCO ebenfalls 250.000 $ für Hinweise auf die Autoren von MyDoom ausgesetzt – Geld, das ebenfalls noch nicht „abgeholt“ wurde.

 

Es gibt wohl einige Gründe für diesen sehr begrenzten Erfolg: Kriminelle arbeiten online unter Pseudonymen und geben sich üblicherweise sehr zugeknöpft bezüglich ihrer wahren Identität. Außerdem ist die Chance, in der realen Welt Zeuge eines Verbrechens zu werden, deutlich höher. In der Cyber-Welt muss wohl davon ausgegangen werden, dass die meisten Zeugen in irgendeiner Weise selbst in das Vergehen verwickelt sind. Und in den wirklich wichtigen Fällen fällt eine Belohnung von 250.000 $ oder gar 500.000 $ ziemlich mickrig aus im Vergleich zum Profit, den organisierte Banden mit ihrem alltäglichen Geschäft erzielen können. Ironischerweise spielt in der Unterwelt auch Vertrauen und Glaubwürdigkeit eine große Rolle – genauso wie auch im legalen Online-Geschäft. Wenn jemand aus diesem Netz ausbricht und eine Belohnung von 250.000 $ annimmt, so ist es aus mit einer weiteren Beteiligung an der Welt der Online-Kriminalität. Die Belohnung müsste bedeutend angesetzt werden, um ein Karriereende zu versüßen.