Schlagwort-Archive: KOOBFACE

Global Threat Report: Europa führt Spam-Welle an, USA ist Spitzenreiter bei verseuchten URLs

Originalartikel von Elizabeth Bookman (Threats Marketing Manager bei Trend Micro)

Europa ist in der ersten Hälfte 2010 zur weltweit größten Spam-Schleuder avanciert. Dies geht aus dem aktuellen Trend Micro Threat Report 2010 für die erste Jahreshälfte hervor. Entgegen der allgemeinen Wahrnehmung machten pornografische Inhalte lediglich vier Prozent des gesamten Spamvolumens aus. Kommerzielle, auf Betrug ausgerichtete oder medizinische Produkte bewerbende E-Mails hatten einen Anteil von 65 Prozent am weltweiten Spamaufkommen. HTML-Spam ist dabei die beliebteste Form, die unerwünschte digitale Post zu verteilen.

Aus dem Report geht hervor, dass die Zahl verseuchter URLs von 1,5 Milliarden im Januar auf über 3,5 Milliarden im Juni angewachsen ist. Die meisten bösartigen URLs sind in Nordamerika beheimatet, wohingegen im asiatisch-pazifischen Raum die meisten Opfer von Malware-Infektionen anzutreffen sind.

Zu den am häufigsten von Trend Micro geblockten Webseiten zählen Seiten mit indizierten Inhalten, aber auch Webseiten, die gefährlichen Code enthielten wie IFRAME-Code, TROJ_AGENT und JS_DLOADR.ATF.

Trojaner haben etwa einen Anteil von 60 Prozent aller neuen Signaturen oder des jeweiligen von den Trend Labs erstellten Gegenmittels. Sie nehmen allein 53 Prozent aller seit Juni aufgedeckten Bedrohungen ein. Auf dem zweiten und dritten Platz findet sich Backdoor-Software und Trojaner-Spyware, gemeinhin bekannt als Crimeware, mit dem Ziel des Datendiebstahls. Die meisten Trojaner führen zu dieser Art von Malware.

Indien und Brasilien kommen insofern zu einer unrühmlichen Ehre, als sich in diesen Ländern die meisten Computer befinden, die von Botnetzen kontrolliert werden. Botnetze gehören zu den präferierten Werkzeugen von Internetkriminellen, um Malware oder Spam zu verteilen und Angriffe zu verüben.

Bei einer Betrachtung der Infektionsraten nach Branche war der Bildungssektor in der ersten Jahreshälfte 2010 am meisten betroffen: Nahezu die Hälfte aller Malware-Infektionen wurde an Schulen und Universitäten verzeichnet, also dort, wo IT-Verantwortliche vor der schwierigen Aufgabe stehen, eine komplexe und weit verteilte Infrastruktur abzusichern, die von vielen Studenten genutzt wird, die sich kaum an Sicherheitsrichtlinien halten. An zweiter und dritter Stelle liegen Behörden und die Technologiebranche mit jeweils zehn Prozent aller Malware-Infektionen.

ZeuS und KOOBFACE waren in der ersten Jahreshälfte 2010 besonders aktiv. ZeuS wurde von einem in Osteuropa beheimateten Verbrechernetzwerk entwickelt mit dem Ziel, von Nutzern Onlinebanking-Zugangsdaten und ähnlich sensible Informationen zu stehlen. Zielscheibe dieser Angriffe sind vornehmlich kleinere Unternehmen und ihre Banken. Jeden Tag registriert Trend Micro hunderte ZeuS-Abwandlungen und es sieht nicht danach aus, als ob sich dies in Zukunft ändern würde.

Das KOOBFACE-Botnetz kann sich damit rühmen, die bis heute größte Bedrohung für soziale Netzwerke zu sein. Anfang des Jahres bemerkten die Experten bei Trend Micro, dass die Verbrecherbande hinter KOOBFACE das Botnetz regelmäßig aktualisiert: die Botnetz-Architektur wird verändert, neue ausführbare Dateien kommen hinzu, Botnetz-Funktionen verschmelzen mit anderen Binärdateien. Auch begannen die Betrüger die Kommunikation, mit der das Botnetz kontrolliert wird, zu verschlüsseln, um eine Überwachung durch Sicherheitsexperten oder die Behörden zu verhindern.

Sicherheitslücken in Anwendungen waren schon immer ein Teil der Bedrohungslandschaft. In der ersten Jahreshälfte 2010 zählten die Trend Micro-Sicherheitsforscher 2.552 veröffentlichte Sicherheitslücken und Auffälligkeiten in Anwendungen. Es sind weitaus mehr, wenn man die Fälle hinzurechnet, die die Forscher vertraulich allein an die jeweiligen Hersteller gemeldet haben und bei denen das Wissen um diese Lücken nie an die Öffentlichkeit gelangte. Endanwender sind insofern davon betroffen, als der einmalige Besuch einer Website genügt, um sich zu infizieren. Unternehmensserver stehen ebenfalls im Visier, wobei die Internetkriminellen hier ungepatchte Sicherheitslücken ausnutzen. Zwar mag der Zugang komplizierter als bei Einzelsystemen sein, doch lockt die Internetkriminellen die weit größere potenzielle Belohnung.

Das Trend Micro Smart Protection Network bietet als Sicherheitsinfrastruktur den Anwendern innovativen Schutz aus der Cloud und blockiert Sicherheitsbedrohungen in Echtzeit, noch bevor sie den Anwender erreichen. Derzeit kommen im Smart Protection Network täglich 45 Milliarden Anfragen an, täglich werden fünf Milliarden Bedrohungen geblockt und 2,5 Terabyte an Daten verarbeitet. Durchschnittlich 80 Millionen Anwender nutzen täglich das Netzwerk.

Der vollständige Report mit umfassenden Tipps, wie man sich als Unternehmen und Endanwender schützen kann, steht unter Threat Reports zur Verfügung.

Die KOOBFACE-Bande trackt nun Besucher

Originalartikel von Joey Costoya (Advanced Threats Researcher bei Trend Micro)

Gefälschte YouTube-Seiten sind ein typisches Merkmal des KOOBFACE-Botnetzes. Damit sollen potenzielle Opfer dazu gebracht werden, den „Codec“ zu installieren, der für das Abspielen von Videos nötig ist – in diesem Fall von einer angeblich versteckten Kamera.

Die gefälschten Seiten umfassten in einem Fall die Reaktion der KOOBFACE-Gang auf die von Dancho Danchev veröffentlichte Liste ihrer böswilligen Aktivitäten.

Vor einigen Tagen nun schlossen die Kriminellen einen kurzen JavaScript-Code mit ein, der es der Bande erlaubt, die Seiten-Hits direkt zu überwachen. Der Tracking-Code liegt am unteren Rand der Seite, und zwar weit unter einer Reihe von <br>-Tags.

Der Code nutzt einen Hit-Zähler-Webdienst. Laut Information der Hit-Zählerseite nutzt die Bande diese Methode seit dem 28. Juli 2010.

Seither gab es 22.905 einzigartige Hits.





Sogar nach Zeitabschnitten verfolgt die Bande ist Seiten-Hits.

Das stündliche Tracking ermöglicht es den Kriminellen, die Nutzeraktivitäten (nach Tageszeit) mit der Anzahl der KOOBFACE-Infektionen in Verbindung zu setzen. Die Statistikseite enthält keinen Hinweis auf die Zeitzone, sodass die Interpretation der Stundendaten nicht besonders nützlich wirkt. Die 22.905 Hits stellen die Anzahl der einzelnen Besuche auf der gefälschten YouTube-Seite dar, die der KOOBFACE-Lader mit dem Datennamen setupNNNN.exe hochschiebt (NNNN ist eine Zufallszahl). Es gibt auf der Hit-Zählerseite keine aktuellen Daten dazu, wie viele Nutzer tatsächlich den KOOBFACE-Loader ausgeführt haben.

KOOBFACE verschickt wieder Nachrichten über Facebook

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Das berüchtigte KOOBFACE-Botnetz schickt direkte Nachrichten auf Facebook. Dies sollte den meisten Nutzern bereits bekannt sein, denn die Taktik ist nicht neu und wir haben sie auch bereits im März dieses Jahres diskutiert.

Der Hook ähnelt einem ZBOT-Angriff, der ebenfalls schon im März entdeckt wurde, und der vorgab, jemand habe Fotos des Nutzers veröffentlicht. Dieses Mal geht es stattdessen um Videos, die angeblich auf Youtube zu sehen seien. Der Nutzer solle auf den folgenden Link klicken: http://www.facebook.com/l/ae2d7CYBUtLFPs-LAKPMtRXKpBA;www.{BLOCKED}rotherz.ca./19mai/.

Wie so häufig bei diesen Angriffen ist das Englisch der Nachricht katastrophal. Die URL ist gewissermaßen verschleiert, denn der erste Domänennamen, den der Nutzer sieht, gehört Facebook. Der Grund: Der Link führt legitim zuerst auf Facebook. Jede URL im Format http://www.facebook.com/l/{random character};{redirected URL} führt zur Facebook Preview-Seite für externe Links. Anscheinend gehen die Cyberkriminellen fest davon aus, dass die Nutzer die Warnungen ignorieren und auf die ihre Site weiter gehen. Tun sie das und besuchen die bösartige Site, so sehen sie folgendes:

Diese bösartige Site wird auf mehreren IP-Adressen gehostet. Die Nutzer kommen von Facebook auf ein Umleitungs-Skript (JS_REDIR.EB), das auf verschiedene IP-Adressen zeigt, die jedoch alle dieselbe Payload haben – nämlich eine neue KOOBFACE-Variante. Trend Micro hat sie als WORM_KOOBFACE.IC identifiziert.

Wie viele frühere KOOBFACE-Varianten auch, wird diese zum Herunterladen von Malware auf das System des Nutzers verwendet. Zumindest eine davon, TROJ_JORIK.D, installiert augenscheinlich einen Webbrowser, der möglicherweise die KOOBFACE-Infektionskette erneut startet.

Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network vor diesem Angriff geschützt, denn die Content-Sicherheitsinfrastruktur blockiert mithilfe des Web Reputation Service den Zugriff auf bösartige Sites und verhindert den Download der zugehörigen bösartigen Dateien.

Wie generiert KOOBFACE Profit?

Originalartikel von Ryan Flores (Advanced Threats Researcher bei Trend Micro) Malware existiert, weil die Autoren das so wollen. Sie kann das Produkt eines gelangweilten Hirns sein oder eines Experiments oder — wie immer häufiger heutzutage – ein Mittel zum Geldverdienen. Niemand macht sich die Mühe, ein so kompliziertes Botnet wie KOOBFACE aus reinem Vergnügen aufzusetzen. Daher die berechtigte Frage: Wozu dient KOOBFACE? Antworten gibt die dritte (und hoffentlich letzte) Ausgabe des Trend Micro Forschungspapiers zu diesem Schadcode. Wir analysieren darin die verschiedenen Mechanismen, die KOOBFACE nutzt, um mit dem Botnet Geld zu machen. Zudem bieten wir Einblicke in die Art und Weise, wie heutige Cyberkriminelle arbeiten, und zeigen auf, vor welchen Herausforderungen sie dabei stehen. Interessierte können “Show Me the Money! The Monetization of KOOBFACE” hier herunter laden.

KOOBFACE-Kampagne mit weihnachtlichem Video

Originalartikel von JM Hipolito (Technical Communications bei Trend Micro)

Die kriminelle Bande hinter KOOBFACE weiß die Weihnachtsstimmung auszunutzen und hat eine Kampagne gestartet mit der neuen Komponente, die die Kriminellen bereits im November eingeführt hatten. Besagte Komponente führt Nutzer-ähnliche Aktionen aus, etwa sich Facebook-Gruppen anzuschließen oder Nachrichten bei Facebook-Freunden zu hinterlassen.

Die Kampagne sieht prinzipiell genauso aus wie die vorherige – nutzt aber diesmal das Thema Weihnachten: Die Einträge, die angeblich von einem anderen Nutzer stammen, geben vor, ein Link zu einem Video zu sein. Der Link führt zu einer betrügerischen YouTube-Seite, die typisch für einen KOOBFACE-Angriff ist. Die Seite präsentiert sich als Weihnachts-Video.

Die von der Seite herunter geladene Datei erkennt das Trend Micro Smart Protection Network als WORM_KOOBFACE.X. Dies ist nicht der erste “Weihnachtsangriff” in diesem Jahr. Bereits im September haben die Bedrohungsanalysten von Trend Micro Weihnachts-Spam in den sozialen Netzwerken entdeckt. Die Attacke wird erfahrungsgemäß auch nicht die letzte bleiben.

Deshalb sollten Nutzer genauso wie in den letzten Jahren vorsichtig sein.