ZeuS stiehlt MySpace-Nutzern Login-Daten

Original Artikel von Rik Ferguson (Solutions Architect bei Trend Micro)

Ein neuer Spam-Angriff der Malware ZeuS- beziehungsweise der Zbot-Famile ist gestartet worden. Die Opfer erhalten eine E-Mail, in der sie aufgefordert werden, ihr MySpace-Konto zu aktualisieren – ein dem Facebook Spam von letzter Woche sehr ähnliches Vorgehen.

Spam E-Mail vom Zeus Bot

Der Link in der Mail führt zu einer vorgetäuschten MySpace-Login-Seite, und dort werden die Anmeldedaten natürlich gestohlen. Sobald sich ein Opfer „angemeldet“ hat, wartet ein “MySpace Update Tool” darauf, die Unvorsichtigen dazu zu bringen, ihre ganz eigene Variante des ZeuS-Agenten zu installieren. Wir haben diese als TSPY_ZBOT.SMP identifiziert. Das Trend Micro Smart Protection Network blockt sowohl den E-Mail-Spam als auch die zur Kampagne gehörenden Webadressen.

Download-Seite des ZeuS-Agenten

Worum geht es bei ZeuS? In einer Readme-Datei in schlechtem Englisch erklären die Anbieter potenziellen Interessenten, was sie damit anfangen können. Er bietet ein vollständig installiertes, konfiguriertes und „unterstütztes“ ZeuS-Bot mit Kontroll-Panel, Agenten-Builder und Injection Scripts für nur 320 Dollar an. Das System garantiere eine Überlebenschance des Botnets von 90 Prozent. Kriminelle Käufer können damit POST-Daten und Tastenbewegungen aufzeichnen, transparent URL-Redirects auf betrügerische Sites durchführen, HTTP(S)-Inhalte ersetzen sowie TAN-Grabber für jedes Land kaufen, so das Angebot. Sie erhalten außerdem Zertifikate von MY und auch deren Löschen, sie können Login/Kennwörter von POP3- und FTP-Reports mitschneiden und lokale DNS ändern, Dateiaufzeichnungen entfernen oder hinzufügen und anderes mehr.

Es scheint schwierig zu sein, als Cyberkrimineller Partner zu finden, denen man vertrauen kann. Der Anbieter warnt deswegen Interessenten davor, nach dem Kauf und Hochladen des Bots auf ihre mit den Fallen versehenen Webseiten eigene „kleine Pakete“ an potenzielle Opfer zu verschicken – „Wir bekommen alles mit“, so der kriminelle Anbieter.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*