Archiv der Kategorie: SEO

FAKEAVs sind hier, um zu bleiben

Originalartikel von Danielle Veluz (Technical Communications bei Trend Micro)

Internet-Nutzer müssen sich mittlerweile damit auseinandersetzen, dass alles, was ihnen im Web begegnet auch Betrug sein kann, einschließlich angeblicher Antivirus-Software. Trend Micros „Threat Encyclopedia“ umfasst mittlerweile mehr als 2000 Einträge zu FAKEAV.



Viele naive Nutzer fallen immer noch auf den uralten Trick der Scareware-Taktik der Anbieter der gefälschten Antivirensoftware herein: Die Opfer sollen glauben, ihre Systeme seien mit Schadsoftware infiziert und sollen aus Angst vor den Folgen dieser Gefahr für etwas zahlen, was sich als vollkommen unnütz entpuppt.

Die Techniken, die die Cyberkriminellen nutzen, entwickeln sich alarmierend schnell weiter, um ihre FAKEAV-Kreationen an unwissende Nutzer zu bringen. Häufig greifen sie auf „vergiftete“ Suchergebnisse zu den gerade populärsten Themen zurück oder auf Spam-Nachrichten, die bösartige URLs oder Dateianhänge enthalten. Der Verbreitung von FAKEAVs scheinen keine Grenzen gesetzt zu sein. Die verschiedenen Varianten versuchen aus allen wichtigen Nachrichten in der Welt Profit zu schlagen – jeden Tag erscheinen Hunderte neuer gefälschter AV-Domänen.

Infizierte Nutzer werden über FAKEAV nicht nur betrogen, sie werden auch zu direkten Teilnehmern in Botnetzen und unterstützen somit die weitere Verbreitung der Schadsoftware. FAKEAVs überlassen nämlich ihre Verbreitung den Botnetzen, sodass sich die Cyberkriminellen auf die Entwicklung von immer effizienteren Einschüchterungstaktiken und Pay-per-Install-Modellen konzentrieren können. Auf diese Weise haben sie sich mit anderen Cyberkriminellengruppen zusammengeschlossen, etwa den KOOBFACE–  und BREDOLAB-Banden, und ein sehr lukratives Geschäftsmodell entwickelt.

Nutzer sollten immer im Hinterkopf behalten, dass FAKEAVs nur einem einzigen Zweck dienen, nämlich dem Profit der Cyberkriminellen auf Kosten der Nutzer. Dies ist auch der Grund, warum diese Schadprogramme immer weiter entwickelt werden und in vielfältiger Weise ausgeliefert werden – sogar in die iPhones haben sie ihren Weg gefunden.

Dennoch ist es nie zu spät, vorsichtig zu sein und lediglich vertrauenswürdige Sites für Updates zu nutzen. Auch sollte man vermeiden, auf verdächtig erscheinende URLs zu klicken sowie Dateianhänge zu öffnen oder gar herunter zu laden, vor allem wenn sie von unbekannten Absendern kommen. Schließlich können sich Nutzer mit Software schützen, die auf Reputation setzt, wie Trend Micros Smart Protection Network. Damit sind die Anwender vor FAKEAV-bezogenen Infektionen sicher, denn das intelligente Netzwerk blockiert über die Mail-Reputationstechnologie Spam-Nachrichten, hindert Nutzer mithilfe der Webreputation daran, auf bösartige Websites zuzugreifen und entdeckt über die Dateireputationstechnologie bösartige Dateien.

Anfragen zu Facebook “Un Named App” ergeben infizierte Resultate

Originalartikel von Rik Ferguson (Solutions Architect bei Trend Micro)

Eine meiner Bekannten hatte den folgenden Status ihres Facebook-Profils angegeben:

Facebook-Status

Bei diesem Eintrag beschlich mich ein ungutes Gefühl, und ich beschloss, mich etwas umzusehen.

Was Facebook anbelangt, gibt es nichts Besorgniserregendes, es scheint keine an sich bösartige App zu sein. Eine Anfrage bei Yahoo ergab, dass „Un named App“ nichts anderes als das “Boxes”-Tab der eigenen Facebook-Profilseite ist.

Doch Vorsicht: Es gibt dennoch ein reelles Risiko. Kriminelle haben sich diesbezügliche Sorgen der Facebook-Anwender zunutze gemacht und bereits damit begonnen, Google Suchergebnisse zu infizieren.

Google-Suchergebnisse

Ich startete bei Google ein Anfrage nach “facebook unnamed app” und musste feststellen, dass ein Drittel der Ergebnisse auf der ersten Seite auf eine bösartige Website zeigten, die mit dem Ziel aufgesetzt worden war, gefälschte Antiviren-Software unter der Bezeichnung Security Tool zu verteilen.

Ist ein Nutzer unvorsichtig genug und klickt den Link an, so erhält er eine Dialogbox, die ihn darüber informiert, dass er eine Riesenanzahl infizierter Dateien auf seiner Maschine hat. Er wird aufgefordert, das Security Tool für die Säuberung zu nutzen. Natürlich handelt es sich nicht um eine tatsächliche Sicherheitslösung. Das Tool soll das Opfer dazu bringen, in klingender Münze zu zahlen.


Security Tool – gefälschtes AV

Meine Empfehlung: „Suchen“ Sie immer umsichtig, vor allem wenn es um Suchanfragen zu gerade populären Themen geht. Mittlerweile sind Such- und Gesprächstrends ein beliebtes Mittel für die Kriminellen, um Unschuldige auf bösartige Software umzuleiten.

Wer sich Sorgen um die eigene Computersicherheit macht, kann seinen PC mit einer reellen Sicherheitslösung scannen, und zwar mit dem kostenlosen Housecall-Dienst. Bei Fragen können Sie auch den Autor unter der Mailadresse rik_ferguson@trendmicro.com erreichen.

FAKEAV zieht bereits ersten Nutzen aus dem Apple iPad

Originalartikel von Carolyn Guevarra (Technical Communications bei Trend Micro)

Noch bevor der erste Nutzer die neueste Apple-Technologie, das iPad, kaufen kann, ziehen die Cyberkriminellen bereits ihren Profit aus deren Popularität.

Die Sicherheitsanalysten von Trend Micro haben einige bösartige Suchergebnisse gefunden, bei Anfragen nach Informationen zu der Ankündigung des Apple-Tablets. Die infizierten Suchergebnisse entpuppten sich als Teil der anhaltenden Blackhat Search Engine Optimization (SEO) FAKEAV-Kampagnen. Das Anklicken der Suchergebnisse führt zum Download einer gefälschten Antivirus-Software, die Trend Micro als TROJ_FAKEAV.EAM identifiziert hat.

Bei Ausführung zeigt TROJ_FAKEAV.EAM eine professionell aufgesetzte grafische Benutzerschnittstelle an, um die Nutzer dazu zu bringen, die Software zu installieren. Dann erscheint ein gefälschter Infektions-Alert. Geht ein Nutzer darauf ein, sein System von den angeblichen Infektionen zu säubern, zeigt der Trojaner eine Werbeseite, die zu einer Phishing-Seite führen kann, sollte der User sich für den Kauf der FAKEAV entscheiden.




Seitdem Apple bekannt gegeben hat, wann das iPad erhältlich ist, ist das Tablet das heißeste Thema im Web. Und Cyberkriminelle lassen sich diese Gelegenheit nicht entgehen, daher ist es wahrscheinlich, dass viele Nutzer diesem neuen FAKEAV-Angriff auf den Leim gehen werden. Trend Micro warnt eindringlich vor bösartigen Links und empfiehlt, für Informationen zum iPad nur Sites zu besuchen, die eine gute Reputation haben.

Das Smart Protection Network schützt die Anwender vor dieser Gefahr, indem es den Zugriff auf bösartige Sites verhindert und auch den Download infizierter Dateien.

Suchanfragen nach kostenlosen Ausdrucken führen zu bösartigen Domänen

Originalartikel von JM Hipolito (Technical Communications bei Trend Micro)

Die Trend Micro Sicherheitsforscher in EMEA haben einen Blackhat SEO-Angriff entdeckt, der Suchanfragen nutzt, die den String “free printable” enthalten, um den Suchverkehr zu übernehmen und ihn in eine gefälschte Suchmaschine umzuleiten.

Die Analysten fanden heraus, dass diese Anfragen mit dem String “free printable” Ergebnisse liefern, die auch infizierte Websites umfassen. Diese Websites enthalten bösartige Java Scripts,die als JS_REDIRECT.SMF und JS_REDIRCT.MAC identifiziert wurden. Sie stoßen bei jedem Besuch der infizierten Website eine Reihe von Umleitungen an, die schließlich zu einer gefälschten Such-Engine führen, die automatisch den ursprünglich gesuchten String in die eigene Search Textbox stellt.

Das Ziel der Cyberkriminellen scheint das Hijacking des Suchverkehrs in Search Engines zu sein, um ihn in ihre eigenen Such-Engines umzuleiten und so Geld zu verdienen. Noch ist nicht klar, ob es dabei bleibt, doch Nutzer sollten vorsichtig sein, denn die Cyberkriminellen könnten sehr einfach die endgültige Zielseite auf eine Malware-Hosting Site ändern.

Folgendes Diagramm zeigt, wie die Hijacking-Suchläufe funktionieren:


Es ist anzunehmen, dass der SEO-Angriff von der Tatsache profitiert, dass das Interesse an kostenlos auszudruckenden Dateien ziemlich hoch ist. Trend Micro empfiehlt Anwendern dringend, keine Suchanfragen zu stellen, die die Wörter „free printable“ enthalten, da sie an bösartige Sites weiter geleitet werden könnten. Nähere Informationen zu dieser Art von Angriffen finden sich unter dieser Adresse.

Das Erdbeben in Haiti fördert Malware ans Licht

Originalartikel von Roderick Ordoñez (Technical Communications bei Trend Micro)

Nach dem Erdbeben in Haiti am 12. Januar wurde das Internet überflutet mit Spendenaufrufen von allen möglichen Unternehmen und Organisationen. Doch nicht alle diese Aufrufe verfolgten ehrliche Absichten. Martin Roesler, Director of Threat Research bei Trend Micro, ruft Internetnutzer zur Vorsicht beim Anklicken von entsprechenden Websites auf: „Wir haben bereits gefälschte Spenden-Sites, Spam und FAKEAV-bezogene SEO-Angriffe (Search Engine Optimization) entdeckt, welche diese Katastrophe als Social Engineering Taktik nutzen. Und es werden immer mehr. Deshalb müssen hilfswillige Anwender sicherstellen, dass sie ihr Geld auf vertrauenswürdigen Sites spenden, dass alle Sicherheitsfunktionen ihres Webbrowsers aktiv sind und dass sie per Hand die URLs, mit denen sie verbunden sind, gegenprüfen.“ Er empfiehlt, E-Mails, die „One-Click“-Spenden oder ähnliche Dienste anbieten, nicht zu vertrauen.

Obige Spam-Nachricht gibt vor, vom UNICEF International Response Fund zu kommen, und enthält einen Aufruf zum Spenden von Hilfsgütern und Geld. Sie beschreibt sogar die angeblichen Bemühungen der Organisation bei der Hilfe für die Erdbebenopfer in Haiti. Doch unglücklicherweise führt der angegebene Spenden-Link auf eine Phishing-Site.

Auch Nutzer, die sich über die Ereignisse informieren wollen, landen infolge von SEO-Poisoning häufig auf bösartigen Sites. Beim Anklicken solcher Links wird eine FAKEAV-Variante TROJ_FAKEAV.ZX installiert.

Kriminelle nutzen schon länger Tragödien als Social Engineering Taktik. Naturkatastrophen, der Tod von Berühmtheiten, virale Videos und andere zweifelhafte Geschichten – praktisch alles, was Aufsehen im Web erregen kann – verwenden sie als Trigger.

Anwender des Smart Protection Networks von Trend Micro sind vor Gefahren dieser Art geschützt, denn die Sicherheitsinfrastruktur blockiert Spam-Nachrichten, bevor sie die Inbox erreichen, und verhindert auch den Zugriff auf bösartige Sites und Domänen sowie das Herunterladen von verseuchten Dateien.