Schlagwort-Archive: FAKEAV

Windows 8 ist schon im Visier der Kriminellen

Originalartikel von Gelo Abendan, Technical Communications

Kaum ist Windows 8 auf dem Markt, nutzen bereits die Cyberkriminellen den Rummel um das Betriebssystem und starten erste Angriffe. Die Sicherheitsforscher von Trend Micro haben bereits zwei Bedrohungen entdeckt, die das Release des neuen Betriebssystems für kriminelle Zwecke ausnützen.

Die erste ist ein typischer FAKEAV-Schädling, den Trend Micro als TROJ_FAKEAV.EHM identifiziert hat.

Die Schadsoftware zeigt gefälschte Scanning-Ergebnisse an, um wie üblich den Nutzer einzuschüchtern und ihn so dazu zu bewegen, ein ebenfalls gefälschtes Antivirus-Programm zu kaufen. Der Unterschied zu früheren Varianten besteht jedoch darin, dass die Malware als Sicherheitsprogramm für Windows 8 verpackt ist.

Die zweite Bedrohung ist eine Phishing-Mail, die die Empfänger dazu verleiten soll, eine Website zu besuchen, wo sie angeblich Windows 8 kostenlos herunterladen können. Auf der Webseite werden sie nach ihren persönlichen Informationen wie E-Mail-Adresse, Kennwort, Name gefragt – Daten, die im Untergrundmarkt oder für andere kriminelle Aktivitäten verwendet werden können.

Cyberkriminelle missbrauchen typischerweise Veröffentlichungen neuer Technik, die im Vorfeld viel medialen Rummel erzeugt haben, um ihre Schädlinge, Spam oder bösartige Apps erfolgreich zu verbreiten. Die gefälschte Instagram-App beispielsweise tauchte gleichzeitig mit der Nachricht auf, dass Facebook die Foto-App gekauft habe. Auch die gefälschte Version von Bad Piggies erschien kurz nach dem Launch der echten App.

Um auf der sicheren Seite zu sein, sollten Nutzer im Hinterkopf behalten, dass Angebote, die zu gut sind, um wahr zu sein, etwa kostenlose neueste Technik, meistens eine Falle darstellen. Der E-Guide How Social Engineering Works gibt einen Überblick über die Methoden der Cyberkriminellen und Tipps, wie sich der Endanwender davor schützen kann.

Trend Micros Smart Protection Network erkennt und entfernt FAKEAV-Varianten und blockiert den Zugang zu den zugehörigen Sites.

Die UEFA Euro 2012 als Köder

Originalartikel von Paul Pajares, Fraud Analyst

Das große Interesse an der EURO 2012 nutzen auch die Cyberkriminellen für ihre Machenschaften. Die Sicherheitsspezialisten von Trend Micro haben eine bösartige Site entdeckt, die einen Domänennamen nutzt, der die offizielle UEFA Euro 2012 Site kopiert. Die Webseiten führen zu Werbe-Tracking- und Betrugsseiten.

Bösartige Domäne hostet mehrfache Bedrohungen

Die Site {BLOCKED}uro2012.com ahmt die offizielle Site http://www.uefa.com/uefaeuro/ nach. Die Nachforschung ergab, dass diese bereits geblockte Site verschiedene Schädlinge hostet, wie etwa die FAKEAV-Variante TROJ_FAKEAV.HUU. Wird der Trojaner in einem System ausgeführt, so zeigt er vermeintliche Scan-Ergebnisse für das infizierte System und verführt damit Nutzer eventuell zum Kauf eines falschen Antivirusprogramms, das er auch aktiviert.

Die FAKEAV „Aktivierungsseite“ ist in Wirklichkeit eine Phishing-Seite, die die Opfer dazu verleitet, persönliche Informationen preiszugeben. Der Trojaner kann auch Webbrowser deaktivieren (Internet Explorer, Mozilla Firefox, and Google Chrome).

Diese Domäne hostet auch die Datei TROJ_DLOADR.BGV, die Verbindung mit drei verschiedenen URLs aufnimmt, um die ZBOT-Variante TSPY_ZBOT.JMO herunterzuladen. Bei diesen Varianten handelt es sich um notorische Informationsdiebe, die es vor allem auf die Einwahldaten für Online-Banking abgesehen haben. Weitere Details zu der Schädlingsfamilie liefert die Studie „Zeus: A Persistent Criminal Enterprise“.

Blackhat SEO schlägt ebenfalls weiter zu

Auch nutzten die Cyberkriminellen das Spiel zwischen Portugal und Tschechien am 21. Juni für die Blackhat Search Engine Optimization (BHSEO) mit Hilfe von Social Engineering-Taktiken.

Suchten Nutzer nach den Schlagwörtern “Watch Portugal vs Czech Republic Live”, so erschien die bösartige Site als eines der ersten Suchergebnisse. Klickte ein Nutzer diesen Link an, so wurde er statt auf den Live Video-Stream des Spiels auf eine Seite mit einem „Video-Angebot“ weitergeleitet. Nutzer die unwissentlich das „Angebot“ annahmen, griffen auf damit verbundene Sites zu, die den Standort und die IP-Adresse des Betroffenen verfolgen. Damit können die Betrüger Geld verdienen, denn diese Daten werden als Page Visits zur Werbung gewertet.

Ein weiterer ähnlicher Angriff nützte das kürzlich stattgefundene Spiel Italien gegen England aus. Die Site {BLOCKED} glandvsitalylivestreameuro2012online.com leitet Nutzer auf http://www.{BLOCKED}og.com/2012/06/england-vs-italy-live-stream/ weiter, eine Site, die vermeintlich einen Live Video-Stream des Spiels anbietet. Auch in diesem Fall werden Nutzer auf eine betrügerische Seite geleitet, die dann ihrerseits zu Werbe-Tracking-Sites führt.

UEFA 2012 Web Extension, Facebook Clickjacking

Die Sicherheitsforscher fanden auch eine gefälschte Google Chrome-Erweiterung, die auf Chrome Web Store gehostet wird. Die Analyse ergab, dass Nutzer, die besagte Erweiterung ihrem Browser hinzufügen und aktivieren, auf die bösartige Site http://www.{BLOCKED}linetv.biz/livesports.php weitergeleitet werden und dann zu Werbe-Tracking-Sites.

Natürlich werden auch Facebook-Nutzer von dieser Bedrohung nicht verschont. Es gibt verschiedene Pinnwand-Einträge, die angeblich zu einer Seite mit Video-Streaming der Spiele führen. Fällt ein Nutzer darauf herein, so ist das Ergebnis dasselbe wie bei den anderen Taktiken.

Euro 2012 Spam

Rik Ferguson, Director Security Research & Communication EMEA, entdeckte Spam-Nachrichten, die Spielergebnisse auf die in der Abbildung dargestellte Weise missbrauchten:

Nutzer, welche eine solche E-Mail erhalten, sollten auf keinen Fall den Link darin anklicken, denn er führt zu einer kanadischen Site, die gefälschte Medikamente anbietet.

Die betrügerischen Techniken im Zusammenhang mit beliebten Sportereignissen sind sehr weit verbreitet. Daher sollten Nutzer nur zuverlässige Websites im Zusammenhang mit der EURO 2012 aufsuchen und diese dann mit einem Lesezeichen versehen. Weitere Details zu dieser Art von Gefahr bieten die FAQs unter Sports as Bait: Cybercriminals Play to Win.

Trend Micro-Anwender sind vor diesen Bedrohungen über das Smart Protection Network geschützt, denn die Sicherheitsinfrastruktur blockiert die bösartigen URLs und entdeckt die damit in Zusammenhang stehende Malware. Auch Spam-Nachrichten werden geblockt.

Usenix 2012: Beobachtungen zu den Bedrohungstrends

Originalartikel Paul Ferguson, Senior Threat Researcher

Auf der Usenix LEET 2012 in San Jose, Kalifornien, präsentierte Trend Micros Threat Research Group einen Überblick über die aktuellen Bedrohungen und die diesbezüglich wichtigsten Entwicklungen. Dies sind die Haupttrends im Bereich der Bedrohungen:

Entwicklung und Professionalisierung von Exploit Kits

Exploit Kits, wie das beliebte Black Hole Exploit Kit, haben sich zur meist genutzten „Waffe“ entwickelt und dienen dazu, die Angriffsfläche enorm zu erweitern. Dies und auch die Tatsache, dass sie einfach im kriminellen Untergrund gehandelt werden, lässt darauf schließen, dass ihre Anwendung noch weiter an Popularität gewinnen wird.

Zunehmende Reife der Traffic Direction Systems (TDS)

TDS, wie Sutra TDS, dienen dazu, den Datenverkehr der Opfersysteme auf verschiedene Zielseiten umzuleiten, etwa solche mit Exploit Kits, gefälschter Antivirussoftware, vorgebliche Pharmaseiten und andere, — je nach Ziel der Kampagne (Pay-per-Click, Pay-per-Install oder damit verbundene Kampagnen). Die TDS sind sehr effizient und werden zunehmend genutzt.

Kleinere, diversifizierte Botnetze

Statt wie bisher große, monolithische Botnetze aufzubauen, wechseln die Cyberkriminellen zu kleineren, unterschiedlicheren Botnetzen. Der Grund: Damit vermeiden sie, ihre gesamte Infrastruktur zu verlieren, falls eines der Netze abgeschaltet wird, sei es weil Domänen gesperrt, Kommunikationsdienste unterbrochen werden oder die Polizei Computer beschlagnahmt.

Modularisierung

Vor allem Bank-Trojaner wie ZeuS, SpyEye oder Carberp, werden modularer gestaltet, wobei spezielle Plugins hinzukommen, die bei Bedarf angesteckt werden. Beispielsweise stellen Plugins für Screen Grabber, Back Connect oder Web Injects Funktionssets dar, die sich einzeln hinzu kaufen lassen. So entsteht ein Markt für spezialisierte Kriminalität.

Aufkommen mobiler Gefahren

Unabhängig von der schieren Anzahl mobiler Gefahren, die in den verschiedenen Marketplaces auftauchen, handelt es sich dabei vor allem um Proof-of-Concepts. Natürlich sind sie bösartig, können Informationen stehlen, Konten kapern, Premium SMS versenden und so weiter, doch stellen sie derzeit noch keine „signifikante Kriminalität“ dar. Auch gibt es keine tatsächlichen gemeinsamen Versuche, E-Commerce Bankanwendungen anzugreifen. Die Experten erwarten jedoch mit der nächsten Generation der Geräte, die NFC (Near Field Communications) vollständig unterstützen, diesbezüglich eine dramatische Wende. Dann werden nämlich viel mehr Verbraucher den E-Commerce und Finanzanwendungen nutzen – somit lohnt sich dann auch der Angriff.

Weitere Angriffe auf soziale Netzwerke

Soziale Netzwerke sind ein leichtes Ziel für Cyberkriminelle, den die Nutzer sind häufig naiv und veröffentlichen viel zu viele persönliche Informationen. Zudem lassen sie sich leicht dazu verführen, auf Köder-Links zu klicken. Es gibt wenig Hoffnung, dass sich hier etwas ändert.

Angriffe auf kritische Infrastrukturen

Die Betreiber von Netzwerken, die als kritische Infrastruktur bezeichnet werden, sind private Unternehmen, die nicht immer die besten betrieblichen Sicherheitsentscheidungen treffen, deren Sicherheitsbewusstsein häufig zu wünschen übrig lässt und die somit Angreifern ein leichtes Ziel bieten. So lange sich hier nichts ändert werden die Angriffe auch weiter gehen.

Angriffe durch HTML5

Die weitere Verbreitung von HTML5 ermöglicht eine homogene Angriffsfläche. Einzelne Fälle der Ausnutzung von Schwachstellen über JavaScript, Websockets, Cross-Site Scripting und Cross-Site Request-Fälschung sowie Java und andere gibt es bereits. Doch HTML5 ermöglicht die Ausnutzung von Browsern-Schwachstellen, unabhängig vom darunter liegenden Betriebssystem, um so genannte Browser-Botnetze aufzubauen. Weitere Informationen dazu liefert die Serie HTML5 – Die größten Gefahren und Gefahren und kein Ende..

Mehr Datendiebstähle über gezielte Angriffe

Advanced Persistent Threats (APT) funktionieren, weil Social Engineering wirkt. Anscheinend muss die Technik nicht sehr ausgeklügelt sein, um zu funktionieren. Über diese Methode kommen die meisten Dateneinbrüche und –diebstähle, Spionagefälle usw.

Schwer zu fassende Cyberkriminalität

Schlaue Cyberkriminelle wissen, wie sie ihre Chancen am besten nützen können. Sie wissen welche Domänen-Registrare (oder Reseller) und Hosting Provider sie unbedenklich wählen können, weil sie auf Missbrauch nur sehr langsam reagieren. Auch verstehen sie es, unauffällig zu handeln und ihre „Dienste“ so zu platzieren, dass sie ihre Betriebsdauer maximieren. Dazu gehört auch, in aufstrebenden Märkten zu agieren, wo es noch keine effektiven Organisationen für Gegenmaßnahmen gibt, etwa nationale oder regionale CERTs.

In den letzten neun Monaten sind einige transozeanische Kommunikationskabel nach Afrika gelegt worden – ergibt unter Umständen einen völlig neuen Markt für Internetdienste. Viele davon werden mobil sein, doch die Infrastruktur und das Hosting bleibt am Boden verankert. Wichtig in diesem Zusammenhang ist es, parallel ein Framework aufzusetzen, um die Cyberkriminalität dort in den Griff zu bekommen.

 

Zahl der Opfer von Abzocke durch Ransomware in Deutschland am zweithöchsten

Originalartikel von Roland Dela Paz, Threat Response Engineer

Ransomware-Angriffe (Erpressung eines Lösegelds durch verschiedene Methoden) nehmen zu und scheinen sich in letzter Zeit vor allem auf Europa zu konzentrieren. Traditionell waren in erster Linie russische Nutzer die Zielscheibe von dieser Art der Abzockattacken. Beispielsweise ging es in einem der Fälle um Zahlungen an Premium SMS-Dienste. Nachdem vor ein paar Monaten japanische Nutzer mit einem One-Click-Billing-Schema über Android-Smartphones Ziel von Ransomware wurden, traf es kürzlich die Franzosen.

Die jüngsten Varianten tarnen sich als Benachrichtigungen von länderspezifischen Strafverfolgungsbehörden wie in Frankreich die Gendarmerie Nationale, die belgischen eCops und die deutsche Bundespolizei. Deutschland steht sogar auf dem zweiten Platz unter den acht am stärksten betroffenen Ländern weltweit. Auf der Grundlage der Daten aus dem Smart Protection Network hat Trend Micro diese Rangliste aufgestellt:

Die Zunahme der Angriffe mit Ransomware außerhalb von Russland könnte mit den wachsenden Schwierigkeiten im Zusammenhang mit Bezahlmethoden und Fake-Antivirus zu tun haben. FAKEAV als Geschäftsmodell erfordert ein Ökosystem bestehend aus Rädelsführer, Entwickler, Mittelmänner, Werber usw. Wegen dieser komplizierten Strukturen könnten einige kriminelle Gruppen rund um FAKEAV nach alternativen Geschäftsmöglichkeiten wie etwa mit Ransomware suchen. Und schon weitet sich das Geschäft international aus.

Ransomware wird zwar häufig über angeschlossene Netzwerke wie FAKEAVs verbreitet, doch verwenden sie als Bezahlmethode nicht die üblichen Kreditkarten sondern Ukash und Paysafecard Vouchers. Dabei handelt es sich um weit verbreitete Online-Zahlmethoden, die keine persönlichen Daten erfordern. Auch können die Vouchers gegen andere Formen von E-Geld oder auch gegen herkömmliche Währung getauscht werden – also perfekt geeignet für den Betrug..

Die Sicherheitsforscher von Trend Micro können durch die stete Beobachtung der Weiterentwicklung und das Erkennen von künftigen Zielen dieser Gefahr, die Taktik der Kriminellen voraussehen und schließlich die Nutzer davor schützen.

Trend Micros Smart Protection Network schützt die Anwender bereits vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service die Spam-Nachrichten blockiert, noch bevor sie die Inbox des Nutzers erreichen. Der Web Reputation Service wiederum verhindert den Zugriff auf bösartige Sites und Domänen, die Malware-infizierte Dateien enthalten. Der File Reputation Service erkennt diese Dateien als Schädlinge.

Die Koobface-Saga

Originalartikel von Trend Micro

Es gibt viele Arten der Untersuchung einer Bedrohung mithilfe unterschiedlicher Sachkenntnis – vor allem, wenn es sich um eine Gefahr handelt, die mehrere Schädlinge einbezieht und eine ziemlich robuste C&C (Command & Control)-Infrastruktur verwendet. Doch unabhängig davon, ob Reverse Engineering oder die Analyse der Botnet-Infrastruktur eingesetzt wird, das wichtigste Ziel ist, die Bedrohung an sich zu verstehen.

Trend Micro ist in der glücklichen Lage, einige Experten in seinen Reihen zu haben, die diese Herausforderung mit verschiedenen Mitteln angehen können. Deren technische Analyse und die benötigte Sorgfalt bei der Überwachung der Koobface-Aktivitäten führte zu einem gründlichen Verständnis des Botnets. Somit war Trend Micro in der Lage, zu reagieren und eine angemessene Lösung für den Schutz der Kunden zu liefern.

Koobface auf dem Höhepunkt

Zu seinen besten Zeiten, war Koobface als Schadsoftware bekannt, die sich über das sich (zu der Zeit) rasant entwickelnde soziale Netzwerk Facebook verbreitete. Doch natürlich steckte mehr dahinter.
2008 bis 2009 war Facebook gerade dabei, sich von den anderen sozialen Netzwerken wie Myspace, Twitter, Friendster oder myyearbook abzugrenzen und die Vorherrschaft zu übernehmen. Trend Micros erstes Forschungspapier zu Koobface lieferte eine detaillierte Darstellung dazu, dass der Schädling nicht allein Facebook für seine Verbreitung nutzte, sondern auch andere damals beliebte soziale Netzwerke. Auch zeigten die Sicherheitsforscher auf, wie ein mit dem Koobface-Schädling infiziertes System weitere Malware installiert, die dann entweder dazu genützt wird, um infizierten Nutzer-Verkehr zu Geld zu machen oder um die betroffene Maschine in die Koobface C&C-Infrastruktur mit einzubinden.

Koobface und das C&C

Trend Micros zweites Forschungspapier beschäftigte sich ausführlich mit der C&C-Infrastruktur und -Kommunikation. Die Experten konnten die verschiedenen Kontrollebenen in der Koobface-Bande nachvollziehen – von der feingranularen Kontrolle der Social Engineering-Nachrichten, die der infizierte Nutzer als Spam verschickte, bis zu den verschiedenen Komponenten, Konten, Infrastrukturen und Befehlen, die der Bande zur Verfügung standen.

In dieser Phase gelang es den Sicherheitsforschern von Trend Micro, das C&C-Protokoll sowie die Befehle zu entziffern und die Botnet-Aktivitäten zu überwachen. Sie entdeckten die Facebook- und Google-Konten, die die Kriminellen kontrollierten und entkräfteten die Theorie, dass die Bad Guys billige Arbeitskräfte in Indien für das Knacken von CAPTCHAS beschäftigen. Auch stellten sie fest, dass die Leute hinter Koobface jeden Versuch, das Botnet kaltzustellen, unterliefen.

Noch fehlte aber die Antwort auf die zentrale Frage nach den Vorteilen für die Gang.

Koobface als Goldesel

Die Antwort auf diese Frage kam durch den Beweis, dass die Koobface-Bande in kriminelle Machenschaften verwickelt war, so etwa FakeAV-Installationen, Click-Betrug, Informationsdiebstahl und Online-Dating.

An diesem Punkt der Untersuchung wandten sich die Forscher für eine Zusammenarbeit an die breitere Sicherheits-Community, denn eine so große Aktion wie die um Koobface bedarf auch der Kenntnisse anderer Forscher, Ermittler und Organisationen. Trend Micro arbeitete mit unabhängigen Ermittlern wie Jan Droemer zusammen, ebenso mit Facebook und Google oder auch mit den Sicherheitsforschern von Kaspersky und Sophos. Dass auch mehrere Polizeibehörden involviert waren, ist selbstverständlich.

Die Entwicklung von Koobface

Ein nächstes Forschungspapier beschrieb, wie die Koobface-Bande die C&C-Architektur und die Malware-Binaries veränderte sowie die Backend-Dienste verbesserte, um sich gegen Schließungen und das Aufdecken ihrer Aktivitäten zu schützen.

Vor ein paar Wochen dann kam das bislang letzte Papier heraus, das zeigte, wie die Kriminellen sich den strengen Sicherheits-Checks von Facebook anpassen, indem sie auf Twitter und Blogspot umschwenken und TDS (Traffic Direction Systems) für ihre Zwecke nutzen.

Verfrühte Veröffentlichung

Die Beteiligten hielten die ganzen Daten zu den Untersuchungen und Nachforschungen geheim, um die laufenden Ermittlungen nicht zu gefährden. Doch leider veröffentlichte ein Blogger wichtige Informationen bezüglich der Koobface-Ermittlung, und zwar ohne sich mit den Beteiligten abzusprechen. Dies geschah, bevor es zu den gewünschten Ergebnissen kommen konnte (etwa Verhaftungen).  Die langsamen Ermittlungen sind verständlich, geht es doch um Beweise, die vor Gericht Bestand haben müssen. Es bleibt zu hoffen, dass trotz der aktuellen Situation die Ermittlungen zu einem guten Ende kommen und die Kriminellen ihrer gerechten Strafe nicht entgehen.

Trend Micro-Forscher Jonell Baltazar, Ryan Flores, Joey Costoya und Nart Villenueve haben erhebliche Anstrengungen unternommen, um die Koobface-Bedrohung zu untersuchen.  In diesem Whitepaper beschreibt Sophos ebenfalls die Entwicklung der Aktion Koobface.