Schlagwort-Archiv: Twitter

Rootkit gibt sich als TweetDeck Update aus

Hinterlassen Sie eine Antwort

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Ein gutes Timing ist alles, vor allem wenn man Malware verbreiten will. Letzte Woche benachrichtigten die Entwickler des beliebten Echtzeit-Browsers TweetDeck die Nutzer, dass sie diese Anwendung aktualisieren müssen, weil es Änderungen in den von Twitter unterstützten Authentifizierungsprotokollen gibt.

Cyberkriminelle witterten sofort ihre Chance und verschickten ihre eigenen Tweets mit gleichem Inhalt. Doch diese bösartigen Nachrichten enthielten einen URL-verkürzten Link auf einen angeblichen TweetDeck-Installer namens tweetdeck-08302010-update.exe.

Die Datei enthält natürlich keinen legitimen Installer sondern eine TDSS-Variante, die Trend Micro als TROJ_TDSS.FAT identifiziert hat. Die TDSS-Schädlingsfamilie liefert Rootkits, die die vollständige Kontrolle über betroffene Systeme übernehmen können. Auch sind sie aufgrund ihrer Komplexität und ausgeklügelten Programmierung schwer zu entfernen.

TweetDeck hat die Nutzer offiziell davor gewarnt,  einen Installer herunter zu laden, dessen URL mit http://alturl.com/ beginnt. Auch ist die Website, auf der die bösartige Datei liegt, blockiert worden.

Toolkit zur Verbreitung von Spam auf Twitter

Hinterlassen Sie eine Antwort

Originalartikel von Maxim Goncharov (Advanced Threats Researcher bei Trend Micro)

Dass Cyberkriminelle die sozialen Medien für ihre Zwecke ausnutzen, ist mittlerweile eine Tatsache — kein Wunder angesichts von 75 Prozent Verbreitung sozialer Netzwerke in den US-Haushalten.

Bei Twitter ist man sich der Gefahr vor allem durch Spam-Angriffe bewusst. Der Anbieter hat auch einige Webpage-Einschränkungen vorgenommen, die die Möglichkeiten der Spammer beschneiden sollen. Dazu gehört die Implementierung eines Twitter Link Service, der bei der Konvertierung eines Links diesen gegen eine Liste potenziell gefährlicher Sites gegencheckt.

Doch die Bad Guys sind nicht gewillt, dieses „Profitcenter“ kampflos aufzugeben. Sie verbreiten derzeit im Untergrund ein Toolkit, mit welchem Twitter-Spam verschickt werden kann. „Twitter Kit“ hat interessante Funktionen, wie etwa die Möglichkeit, via socks5 proxy Nachrichten an Tausende Follower zu senden. Diese Funktionalität zeigt ihre Eignung speziell in SEO-Projekten (Search Engine Optimization). Mit dem Tool lassen sich auch die Follower anderer User durchsuchen und Follow-Einladungen an sie senden, aber auch von Twitter gesetzte Kontenbegrenzungen.

Ich nehme an, das Twitter Kit wird für die Verbreitung pornografischer Links genutzt, denn es wird als Bonus mitgeliefert beim Kauf von 10.000 Porno-Follower. Normalerweise kostet das Kit nur 20 Dollar, und das heißt, dass es von vielen anderen Cyberkriminellen für weitere bösartige Aktivitäten ebenfalls genutzt werden kann.

Twitter-Nutzer sind deshalb gut beraten, sich vor verdächtigen Follower und nach Spam aussehenden Links vorzusehen.

Spammer greifen Facebook-Nutzer mithilfe von Twitter an

Hinterlassen Sie eine Antwort

Originalartikel von Gedrick Lacson (Anti-spam Research Engineer bei Trend Micro)

Trendlabs hat einen neuen Spam-Angriff auf Facebook entdeckt, der sich der populären Micro-Blogging Site Twitter bedient.



Die Mail tarnt sich als Facebook-Benachrichtigung und nutzt nicht jugendfreie Inhalte, um die Empfänger zum Öffnen des Anhangs zu bewegen. Der zip-Anhang Twitter.zip enthält die Datei twitter.html, in die ein bösartiges Script eingebettet ist, das Trend Micro als JS_REDIR.AE identifiziert hat.

Die Beliebtheit der sozialen Netzwerke ist immer noch im Steigen, und die Nutzer verbringen immer mehr Zeit mit  ihren Konten. So fanden die Analysten von Nielsen Online heraus, dass Nutzer eine von viereinhalb Minuten online mit sozialen Netzwerken und Blogging verbringen. Kein Wunder, dass Cyberkriminelle vor allem Facebook und Twitter für die Verbreitung ihres bösartigen Codes nutzen wollen.

Twitter wird auch zusehends häufiger als Mittel für die Spam-Verteilung genutzt. Rik Ferguson, Senior Security Advisor bei Trend Micro, zeigte auf, wie bösartige Tweets zu schädlichen PDF- und EXE-Dateien führen (TROJ_PIDIEF.JCS bzw. TROJ_SMALL.LEC).

Facebook- und Twitter-Anwender, die Sicherheitslösungen von Trend Micro einsetzen, sind vor den beschriebenen Angriffen geschützt. Denn das Trend Micro Smart Protection Network erkennt dank seines Dateireputationsdienstes bösartige Dateien und behandelt sie entsprechend. Anwendern, die keine Trend Micro-Lösungen einsetzen, aber fürchten, ihr Rechner könnte aufgrund der beschriebenen Bedrohungen infiziert worden sein, steht das von Trend Micro im Internet kostenlos angebotene Tool HouseCall zur Verfügung, das Schadsoftware erkennt und beseitigt

(zusätzliche Informationen von Carolyn Guevarra und Jonathan Leopando)

Angriffe nutzen FIFA World Cup als Köder

1 Antwort

von Alice Decker (Senior Threat Researcher bei Trend Micro)

Laut CNN ist der World Cup 2010 die erste Weltmeisterschaft des „Social Media Zeitalters“. Daher kommt es auch nicht überraschend, dass die Cyberkriminellen dieses Großereignis für ihre Zwecke nutzen.

Bei einem der neuesten Angriffe wird der World Cup 2010 als Köder auf Twitter benutzt: TrendLabs Senior Threat Researcher Ivan Macalintal entdeckte folgenden Tweet, der ein Tool versprach, mit dessen Hilfe die Spiele verfolgt werden können:

Klickt der Empfänger auf den Link, so lädt sich die Kopie eines Backdoor-Programms herunter. TrendLabs hat den Schädling als BKDR_BIFROSE.SMK identifiziert, der Verbindung zu verschiedenen IP-Adressen aufnimmt, sodass ein entfernter User bösartige Aktivitäten auf dem betroffenen System ausführen kann. Dazu gehört das Versenden oder Erhalten von Dateien, Keylogging sowie der Diebstahl von Benutzernamen und Kennwörtern. Auch hat die Malware Rootkit-Fähigkeiten, um die eigenen Prozesse und Dateien zu verstecken.

Bei einem weiteren Angriff entdeckten die TrendLabs-Forscher zwei verschiedene Spam-Kampagnen. Die erste umfasste einen Anhang mit einer doc-Datei, die den Empfänger über einen angeblich neuen, von der FIFA organisierten Wettkampf namens „Final Draw“ informiert. Auch soll der Empfänger laut Spam einen Preis von 550.000 US-Dollar erhalten, wobei sich der „Gewinner“ sofort mit dem entsprechenden Agenten über die angegebenen Kontaktdaten in Verbindung setzen muss. Natürlich fordert die Mail den Empfänger auf, seine persönlichen Daten zu nennen.


Die zweite Kampagne besteht aus einer schlecht verfassten E-Mail mit einem ebenfalls schlecht formulierten pdf-Anhang. In diesem Fall geht es um die Preisgabe von Informationen für eine Geldtransaktion von 10,5 Millionen Dollar, von denen der Money Mule 30 Prozent für seine „Hilfe“ erhalten soll. Anders als in den bekannten Nigeria-Angriffen werden die Opfer über das Versprechen geködert, Eintrittskarten für ihre Lieblingsspiele zu erhalten.


Weitere Beispiele umfassten keine Anhänge und gaben vor, von einem gewissen FIFA Vice President namens Geoff Thompson zu kommen.

Weitere Recherchen ergaben, dass dieser Name auch mit einem älteren Spam-Angriff in Verbindung steht. Die ersten Spam-Angriffe, die den FIFA World Cup 2010 als Köder nutzten, liegen bereits 18 Monate zurück.

Das Trend Micro Smart Protection Network schützt die Anwender vor diesen Angriffen, denn die Sicherheitsinfrastruktur verhindert mit Hilfe des Mail Reputation Service, dass der Spam die Inboxen erreicht.

FIFA- und Gaza-Angriffs-Tweets öffnen Hintertüren

Hinterlassen Sie eine Antwort

Originalartikel von: Carolyn Guevarra, Technical Communications, Trend Micro

Was haben Fußballweltmeisterschaft und Gaza-Angriff gemeinsam? Sie werden beide aktuell auf Twitter als Social Engineering-Masche in einer Reihe von Malware-Kampagnen benutzt. Ivan Macalintal, TrendLabs(SM) Senior Threat Researcher, ist auf mehrere bösartige Programme gestoßen, die über die beliebte Microblogging-Site verbreitet werden. Diese Malware-Kampagnen nutzen wichtige Ereignisse aus, um Anwender dazu zu bringen, bösartige Links in Tweets anzuklicken.

Die erste Malware-Kampagne missbraucht den kommenden „FIFA World Cup“ (der laut CNN von einem Rekordniveau an globaler Interaktivität  begleitet sein wird) und versendet den folgenden Tweet:

Das Anklicken der Links führt zum Herunterladen des Backdoor-Programms BKDR_BIFROSE.SMK, das sich mit IP-Adressen verbindet, die es einem Remote User ermöglichen, auf den betroffenen Systemen bösartige Aktionen auszuführen. Dazu zählen das Versenden und Empfangen von Dateien, Tasten-Rekordern und das Abgreifen von Benutzernamen und Passwörtern. „Das Programm verfügt zudem über Rootkit-Fähigkeiten, die es in die Lage versetzen, seine Prozesse und Dateien zu verbergen“

Die zweite Kampagne wiederum versendet den folgenden Tweet mit Bezug zu den Gaza-Attacken:

In diesem Fall heißt die Malware, die über den Link heruntergeladen wird, BKDR_BIFROSE.PAB. Sie öffnet ein verstecktes Internet Explorer (IE)-Fenster sowie den TCP-Port 788, um Befehle von einem bösartigen, entfernten Benutzer zu empfangen. Dieser ist zum Beispiel in der Lage, unter Nutzung von Denial-of-Service (DoS)-Attacken um bestimmter Flooding-Methoden zu initiieren und damit Systeme ins Visier zu nehmen.

Das Trend Micro™ Smart Protection Network™ schützt die Anwender vor diesen Bedrohungen, indem es mit Hilfe seines Dateireputationsdienstes BKDR_BIFROSE.SMK und BKDR_BIFROSE.PAB entdeckt und entfernt.