Schlagwort-Archive: Skype

Schlüsselgeneratoren für Engineering- und wissenschaftliche Software führt zu FAKEAV

Originalartikel von Jeffrey Bernardin, Threat Researcher

In den letzten Wochen ist die Zahl der Infektionen via TROJ_GATAK gestiegen. Diese Schädlingsfamilie, die diesmal vor allem nordamerikanische Nutzer befallen hat, ist nicht sehr bekannt. 2012 fiel sie schon einmal auf, als Datei-Infectors zur Plage für niederländische Nutzer wurden. Die Schadsoftware tarnt sich derzeit als Schlüsselgenerator für verschiedene Anwendungen.
Weiterlesen

Skype-Konten über die Mail-Adresse kapern

Originalartikel Rik Ferguson, Director Security Research & Communications EMEA


Image Credit: dingler1109 Flickr used under Creative Commons.

In Skype wurde eine schwerwiegende Sicherheitslücke entdeckt, über die ein Angreifer, wenn er die E-Mail-Adresse eines Nutzers kennt, dessen Skype-Konto übernehmen kann. Der Machbarkeitsbeweis dafür ist in einem russischen Forum vor etwa drei Monaten veröffentlicht und jetzt auf verschiedenen Webseiten wieder aufgenommen worden, da die Lücke immer noch nicht geschlossen ist. Der Autor stellte auch fest, dass die Lücke auf breiter Basis ausgenutzt wurde und viele seiner eigenen Kontakte davon betroffen waren.

Die Vorgehensweise ist so einfach, dass sogar ein im Umgang mit Computern unerfahrener Nutzer den Angriff ausführen kann. Er benötigt lediglich eine neue Skype-ID und muss diese der E-Mail-Adresse seines Opfers zuweisen. Danach ermöglicht es ein Fehler in der Kennwort-Reset-Prozedur, damit die Kontrolle über das Konto des Opfers zu übernehmen. Das Opfer wird dabei aus seinem Konto ausgesperrt, während der Hacker alle an das Opfer gerichtete Nachrichten erhält und darauf antworten kann, ohne dass der Betroffene darüber informiert wird. Der Autor hat die Sicherheitslücke getestet und der gesamte Prozess dauerte nur wenige Minuten.

Microsoft, seit letztem Jahr Besitzer von Skype, würde davon in Kenntnis gesetzt und hat als Vorsichtsmaßnahme die Seite mit der Kennwort-Reset-Prozedur vom Netz genommen, während der Fehler analysiert wird.

Die einzige Möglichkeit sich zu schützen (bevor die Reset-Seite vom Netz genommen wurde), bestand darin, sich eine separate, nicht öffentliche Mail-Adresse für das eigene Skype-Konto zuzulegen. Der Nachteil einer solchen Maßnahme ist allerdings, dass der Nutzer den Eingang einer solchen Mail-Adresse nicht regelmäßig prüft und damit auch mögliche Angriffe nicht bemerkt.

Die Lehre aus diesen Angriffen: Sogar Informationen, die ein Nutzer gewöhnlich jedem zugänglich machen kann, lassen sich gegen einen verwenden. Es kann nicht genug Vertraulichkeit geben!

Update vom 14.11.2012, 18.15 Uhr:

Mittlerweile hat Skype auf den Vorfall reagiert und nach eigenen Angaben die Sicherheitslücke geschlossen:

http://heartbeat.skype.com/2012/11/security_issue.html

Skype-Wurm breitet sich schnell aus

Originalartikel von Rik Ferguson, Director of Security Research & Communication

Wieder einmal ist es Montagmorgen und wir beginnen trüben Auges die neue Woche. Die Kriminellen nutzen unsere Trägheit nach dem Wochenende aus und starten eine Kampagne zur Verbreitung von Schadsoftware über Skype.

Viele Nutzer haben bereits darüber berichtet, Nachrichten von Freunden aus ihrer Skype-Kontaktliste erhalten zu haben. Mittels Social Engineering erstellte Nachrichten sind sowohl auf Englisch als auch auf Deutsch gesichtet worden. Die Inhalte lauten:

“lol is this your new profile pic? h__p://goo.gl/{BLOCKED}5q1sx?img=username”

oder

“moin, kaum zu glauben was für schöne fotos von dir auf deinem profil h__p://goo.gl/{BLOCKED}5q1sx?img=username”

Unabhängig von der verwendeten Sprache ist der Link immer der gleiche, obwohl das natürlich einfach geändert werden könnte. Die Kurz-URL leitet schließlich zu einem Download auf hotfile.com um. Von dort wird ein Archiv mit der Bezeichnung „Skype_todaysdate.zip“, die eine einzige ausführbare Datei gleichen Namens enthält, heruntergeladen.

Die ausführbare Datei installiert eine Variante des Dorkbot-Wurms, die als WORM_DORKBOT.IF oder WORM_DORKBOT.DN entdeckt wird. Dieser löst nach der Installation anscheinend in großem Stil Click-fraud-Aktivitäten auf jedem infizierten System aus und fügt dieses einem Botnetz hinzu.

Außerdem stehen diese Dorkbot-Varianten Benutzernamen und Passwörter für eine ganze Reihe an Websites, darunter Facebook, Twitter, Google, PayPal, NetFlix und viele andere. Sie können in die DNS-Auflösung eingreifen, iFrames in Webseiten einschleusen, drei verschiedene DDoS-Attacken ausführen, als Proxy-Server dienen und auf Anweisung der Botnetz-Hintermänner weitere Schadsoftware herunterladen und installieren. Dies sind nur einige der Funktionalitäten dieses gefährlichen Wurms. In den ersten 24 Stunden seit Entdeckung hat Trend Micro mehr als 2.800 damit in Verbindung stehende Dateien geblockt.

Bei einigen Infektionen wird eine Ransomware-Variante installiert, welche die Anwender von der weiteren Benutzung ihrer Rechner ausschließt und ihnen mitteilt, dass ihre Dateien verschlüsselt wurden und diese gelöscht würden, falls die unglücklichen Opfer nicht innerhalb von 48 Stunden jeweils 200 US-Dollar Strafe zahlen.

Die Schadsoftware wird zurzeit noch untersucht und TrendLabs hat erste Untersuchungsergebnisse veröffentlicht. Allen sei empfohlen, niemals auf unaufgefordert zugeschickte Links zu klicken.

Falsche Skype-Verschlüsselungssoftware enthält Trojaner DarkComet

Originalartikel von Nart Villeneuve, Senior Threat Researcher

Das Internet spielt im anhaltenden Syrien-Konflikt eine interessante Rolle. Angriffe auf syrische Oppositionelle hatte es bereits im Februar gegeben, und immer wieder gibt es gezielte Phishing-Attacken via Facebook und YouTube. Ein CNN-Report berichtet nun über einen Schädling, der sich über Skype verbreitet.

Die Trend Micro Sicherheitsforscher haben eine Webseite entdeckt, die eine vermeintliche Verschlüsselungssoftware für Skype verbreitet. Die Seite wird in Syrien unter {BLOCKED}encription.sytes.net gehostet – auf demselben Server, der auch in vergangenen Angriffen als C & C-Server genutzt wurde. Auf der Webseite ist ein YouTube-Video eingebettet, das vorgibt, von „IT Security Lab“ zu kommen und die Skype-Kommunikation zu verschlüsseln.

Lädt ein Nutzer die Datei herunter, so erhält er das vermeintliche Verschlüsselungsprogramm Skype Encription v 2.1. Dahinter steckt jedoch BKDR_METEO.HVN.

Die Analyse der Datei lässt vermuten, dass “SyRiAnHaCkErS” die Autoren des Angriffs sind. Die Software generiert eine Verbindung:

GET /SkypeEncription/Download/skype.exe HTTP/1.1
Host: {BLOCKED}.{BLOCKED}.0.28
Connection: Keep-Alive

Die herunter geladene Datei skype.exe enthält den Schädling DarkComet Version 3.3 und nimmt Verbindung auf mit {BLOCKED}.{BLOCKED}.0.28 auf Port 771. Sobald BKDR_ZAPCHAST.HVN installiert ist, können die Angreifer mithilfe von DarkComet RAT die Kontrolle über das infizierte System übernehmen. Übrigens nutzt Skype für Anrufe, Video-Konferenzen und Instant Messages AES-Verschlüsselung.