Vom Regen in die Traufe: KOOBFACE oder FAKEAV?

Original Artikel von Jonell Baltazar (Advanced Threats Researcher, Trend Micro)

Das Koobface-Bot-Netz  ist berüchtigt dafür, FAKEAV oder betrügerische Antiviren-Malware auf die Computer seiner Opfer zu installieren – für das Installieren von FAKEAV ist eine spezielle Komponente zuständig. Jetzt aber hat die Koobface-Gang eine weitere Falltür in ihre gefälschte Facebook-Seite eingebaut:

Sobald der Benutzer das Fenster oder die Registerkarte „Facebook“ schließt, wird ein Popup-Fenster angezeigt. Egal, auf welche Schaltfläche der Benutzer klickt – die neue Koobface-Variante wird auf den Computer heruntergeladen. Das folgende Video veranschaulicht den Vorgang:

Mit diesem Skript führen die Cyber-Kriminellen die neue Routine aus, die allerdings nur funktioniert, wenn die gefälschte Seite über den Internet Explorer geöffnet wird.

KOOBFACE-Skript
Abbildung 1: Koobface-Skript

Das oben stehende Skript lässt dem Benutzer nur die Wahl zwischen zwei Übeln: Schließt er das Browser-Fenster, wird eine FakeAV-Variante heruntergeladen (entdeckt als TROJ_FAKEAV.FGR), klickt er dagegen irgendwo an anderer Stelle auf der Webseite, wird ein Koobface-Loader heruntergeladen (entdeckt als WORM_KOOBFACE.AZ).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*