DOWNAD für die Liste der Spam-Quellen in Q2 an

Originalartikel von Maria Manly, Antispam Research Engineer

DOWNAD, auch als Conficker bekannt, gehört auch weiterhin zu den drei Top-Bedrohungen für Unternehmen aller Größen. Das liegt daran, dass eine ganze Reihe von Firmen immer noch das dafür anfällige Windows XP im Einsatz hat.
Der Schädling kann ein ganzes Netzwerk über eine bösartige URL, Spam-Mail und Wechsellaufwerke infizieren. Er nutzt die Sicherheitslücke MS08-067 im Dienst „Server“ aus, um beliebigen Code auszuführen. Zusätzlich hat DOWNAD einen eigenen Algorithmus für die Domänengenerierung und kann damit beliebige URLs erzeugen, sich mit diesen verbinden und Dateien auf das System herunterladen.

Die Sicherheitsforscher von Trend Micro stellten fest, dass im zweiten Quartal mehr als 40% der mit Schadsoftware in Zusammenhang stehenden Spam-Mails über Maschinen verbreitet wurden, die vom DOWNAD-Wurm infiziert waren. Spam-Kampagnen, die FAREIT-, MYTOB– und LOVGATE-Payload in Mail-Anhängen verbreiten, werden mit DOWNAD infizierten Maschinen zugeschrieben. FAREIT stellt eine Schadsoftware-Familie für den Informationsdiebstahl dar und lädt ZBOT herunter. Die MYTOB-Familie wiederum umfasst Würmer, die eine Kopie ihrer selbst in Spam-Anhängen versenden.

Tabelle. Schadsoftware, die Spam verschickt

Diese Daten zeigen, dass das CUTWAIL (Pushdo)-Botnet und Gameover ZeuS (GoZ) die beiden anderen häufigsten Spam-Quellen sind. Ursprünglich wurde CUTWAIL dazu genutzt, um GoZ-Malware herunterzuladen. Nun verwendet UPATRE GoZ-Schadsoftware oder Varianten von ZBOT, die Peer-to-Peer-Funktionalität beinhalten.

In den letzten Wochen gab es mehrere Berichte über Spam-Kampagnen, die Dropbox-Links dazu missbraucht haben, um Schadsoftware wie NECURS und UPATRE zu hosten. Auch entdeckten die Sicherheitsforscher eine Spam-Nachricht, die sich als Mailbox-Nachricht tarnte und eine Cryptolocker-Variante enthielt. Die neueste Entdeckung ist eine Spam-Kampagne mit Links, die den Dateispeicherdienst CUBBY nutzen. Dieser beinhaltet eine Banking-Schadsoftware (TSPY_BANKER.WSTA). Cyberkriminelle missbrauchen wahrscheinlich diese Speicherplattformen, um ihre bösartigen Aktivitäten zu verschleiern und damit unentdeckt im System und in den Netzwerken zu agieren.

Es hat den Anschein, dass der Missbruch von Dateispeicherdiensten für die Verteilung von Schadsoftware zum bevorzugten Infektionsweg geworden ist. Der Grund dafür ist wahrscheinlich, dass die URLs rechtmäßig sind, und damit die Chance höher ist, Antispam-Filter zu passieren.

Die Mehrheit der Kampagnen werden von GoZ ausgeführt, doch standen etwa 175 IPs in Zusammenhang mit dem DOWNAD-Wurm. Diese IPs nutzen verschiedene Ports und werden über den DGA (Domain Generation Algorithm) generiert. Immer noch sind Maschinen mit dieser Schadsoftware infiziert und werden dazu missbraucht, Spam zu verschicken und so die Infektion zu verbreiten. Nach der Abkündigung der Windows XP-Unterstützung ist es wahrscheinlich, dass es viele Systeme geben wird, die mit Bedrohungen wie DOWNAD infiziert werden.

 

Zusätzliche Informationen von Maydalene Salvador

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.