Schlagwort-Archive: KOOBFACE

Vermeintliche Koobface-Variante greift Skype an

Original Artikel von Jonathan Leopando (Technical Communications Trend Micro)

Die Aktivitäten des berüchtigten Koobface-Botnet  sind bereits häufig in diesem Blog diskutiert worden. Einige Sicherheitsanalysten erklärten kürzlich, dass das Botnet ein neues Tool zum eigenen Arsenal hinzugefügt habe, da eine neue vermeintliche „Koobface-Variante“ die VoIP-Anwendung Skype attackiert hatte.

Trend Micro identifizierte die „Koobface-Variante“ als TROJ_VILSEL.EA. Der Trojaner stiehlt neben den Login-Daten auch die Kontaktlisten, Telefonnummern und andere Informationen der Nutzer, die Teil seines Skype-Profils sind. Er ist zudem in der Lage, die in Skype eingebauten Instant Messaging-Fähigkeiten zu nutzen, um Links an andere Leute aus der betroffenen Kontaktliste zu verschicken. Alle diese Links führen auf Domänen, die Kopien von TROJ_VILSEL.EA enthalten.

Auch wenn das Verhalten von TROJ_VILSEL.EA dem früherer Koobface-Varianten sehr ähnlich ist (abgesehen von der Zielanwendung), so handelt es sich nicht um ein Mitglied der berüchtigten Malware-Familie. Sowohl der bösartige Code als auch das Netzwerkverhalten unterscheiden sich von den bislang bekannten Koobface-Varianten. Es wäre auch nicht weiter verwunderlich, wenn die Koobface-Kriminellen ihre eigene Variante produziert hätten.

Diese Entwicklung unterstreicht noch einmal die Findigkeit der Cyberkriminellen, wenn es darum geht, ihre Ziele mithilfe von bewährten und getesteten Methoden für die Verbreitung von Malware zu erreichen. Trend Micros Smart Protection Network schützt Nutzer vor diesem Angriff, indem es den Zugriff auf bösartige URLs blockt, um zu verhindern, dass die Systeme der Anwender infiziert werden.

Neue Koobface-Komponente tarnt sich als Facebook-Nutzer

Original Artikel von Jonell Baltazar (Advanced Threats Researcher bei Trend Micro)

Das Koobface-Botnet hat eine neue Komponente in Umlauf gebracht, die die folgenden Routinen automatisiert:

  • Registrieren eines Facebook-Kontos,
  • Bestätigen einer E-Mail-Adresse in Gmail, um das registrierte Facebook-Konto zu aktivieren,
  • Beitritt zu beliebigen Facebook-Gruppen,
  • Hinzufügen von Facebook-Freunden sowie
  • Posten von Nachrichten an die Schwarzen Tafeln von Facebook-Freunden.

Im Allgemeinen verhält sich die Komponente wie ein normaler Internet-Nutzer, der mit Freunden in Facebook Verbindung aufnehmen will. Alle von der Komponenten registrierten Facebook-Konten lassen sich mit den üblichen von Nutzern erstellten Konten vergleichen. Auch die Angaben zu den Konten sind vollständig, etwa Fotos, Geburtstag, Lieblingsmusik oder Lieblingsbücher. Außerdem ist jedes Konto einzigartig, denn sie enthalten unterschiedliche Detail.

Koobface führt diese bösartigen Aktivitäten über eine automatische Routine für den Internet Explorer aus, der dann die Aufgabe des Aufsetzens und Registrierens eines Kontos übernimmt. Die Prozess bricht jedoch ab, falls der betroffene Benutzer den Internet Explorer 6 im Einsatz hat. Zusätzlich achtet die Malware auf das von Facebook gesetzte maximale Zahl an Einladungen von Freunden, sodass sie unterhalb des Radars bleibt und keinen Alarm bei Administratoren auslöst. Die Komponente holt sich die Details von einer der verfügbaren Proxy-Domänen des Botnets.



Die geposteten Nachrichten über Facebooks Schwarzem Brett enthalten einen Link, der auf die übliche gefälschte Facebook oder YouTube-Seite führt, die die Koobface-Ladekomponente umfasst.

Facebook-Nutzer sind gut beraten, vorsichtig und sicherheitsbewusst zu handeln. Es ist anzunehmen, dass das Koobface-Botnet ein eigenes Facebook-Konto besitzt. Anwender der Sicherheitslösungen von Trend Micro sind durch das Trend Micro Smart Protection Network vor dieser Attacke geschützt. Das Smart Protection Network blockt auch weiter bösartige URLs, die von Koobface gespammt werden.

Koobface nimmt Google Reader ins Visier

Original Artikel von Jonell Baltazar (Advanced Threats Researcher bei Trend Micro)

Trend Micro warnt vor einer neuen Entwicklung des Koobface-Botnetzes, die den Google-eigenen Service Google Reader missbraucht. Die Google Reader-Webadressen wurden von Koobface als Spamnachrichten in sozialen Netzwerken wie Facebook, MySpace und Twitter verbreitet wurden. Dazu nutzen die Verbrecher Google-Benutzerkonten, um URLs zu hosten, die ein Image enthält, dass einem Flash-Video ähnelt. Diese URLs werden in besagten sozialen Netzwerken verteilt. Klickt ein User auf das Image oder den Titel des Contents, so landet er auf einer infizierten Website – auf der sich ein weiteres gefälschtes YouTube-Video befindet. Von dort aus wird der Rechner des Anwenders infiziert, der dadurch Teil des Koobface-Botnetzes wird.



Google Reader ist ein kostenloser Dienst, mit dem Anwender Websites nach neuen Inhalten durchsuchen sowie diese neuen Inhalte untereinander austauschen können. Diese Funktion, ist einfach zu verwenden, denn jeder kann auf seiner Reader-Seite auf den Share Icon klicken, und die Inhalte werden auf eigenen der öffentlichen Seite dargestellt. Diese Möglichkeit, Inhalte auszutauschen, wird von den Cyberkriminellen durch das Spammen von bösartigen Links missbraucht.

Bereits rund 1.300 Google Reader-Konten sind von der Koobface-Spam-Attacke auf sozialen Netzwerken betroffen. Trend Micro hat Google über diesen Vorfall unterrichtet. Das Trend Micro-Forschungs-Team beobachtet kontinuierlich die kriminellen Koobface-Aktivitäten, insbesondere das Spammen von Webadressen auf sozialen Netzwerken wie Facebook, MySpace und Twitter.

Anwender der Sicherheitslösungen von Trend Micro sind durch das Trend Micro Smart Protection Network vor dieser Attacke geschützt. Anwender, die befürchten, ihr Rechner könnte befallen sein, können die kostenlosen Trend Micro-Werkzeuge zum Aufspüren und Beseitigen von Infektionen wie HouseCall nutzen.

Halloween: Achtung Online-Tricks

Original Artikel von Trend Micro TrendLabs Malware Blog

Meistens denken wir bei Halloween an Kürbisse und Kostüme, doch Cyberkriminelle haben damit anderes im Sinn, nämlich Anwender dazu zu bringen, ihnen ihre persönlichen Daten preiszugeben. Die Trend Micro TrendLabs haben die sieben schlimmsten Bedrohungen zusammengestellt, die an Halloween an die Türen klopfen könnten:

  1. Maßgeschneiderter ZBOT Spam wird die Mailboxen überschwemmen. Das Zeus-Botnet ist wohlbekannt für seine E-Banking-Angriffe, die sich vor allem gegen kleine Unternehmen richten, die keine speziellen IT-Mitarbeiter haben. Der derzeit berüchtigtste ZBOT-Angriff schickte maßgeschneiderten Spam an die Angestellten mehrerer solcher kleinen Unternehmen. Die Spam-Nachrichten waren so aufgesetzt, dass sie legitim und nicht bösartig schiene, während sie doch eine Trojaner-Spyware enthielten, die darauf ausgerichtet war, Informationen und Identitäten zu stehlen.
  2. Schwachstellen haben eine kritische Masse erreicht: Patch mich, wenn du kannst. Microsoft hat im Dezember 2008 mit 28 Patches für die eigenen Betriebssystemschwachstellen einen Rekord aufgestellt. Bereits im Juni 2009 brach der Anbieter mit dem Release von zehn Sicherheits-Advisories für 31 Betriebssysteme und weitere Software-Schwachstellen seinen eigenen Rekord. Was bedeutet das für die Anwender? Es bedeutet, dass nicht gepatchte Schwachstellen Cyberkriminellen Tür und Tor für Exploits öffnen. Beispielsweise können Kriminelle über nicht gepatchte Schwachstellen im Browser eines Systems beliebigen Code ausführen, wenn der User über eine bösartige Website browst. Damit begibt er sich in die Hände der Räuber.
  3. FAKEAV: Übergabe hart erarbeiteten Geldes für betrügerische Sicherheit. FAKEAV hat das Web schon mehrere Male unter Druck gesetzt. Die meisten Angriffe nutzten eine „Scareware“-Taktik und zeigten einen Blue Screen oder gefälschte grafische Benutzerschnittstellen, um Anwender vor Infektionen zu warnen. Einige der gefährlicheren Varianten nutzten eine „Lösegeld“-Taktik. User, die einem FAKEAV-Angriff zum Opfer fallen, werden im Endeffekt nutzlose Anwendungen kaufen, oder sogar kritische Informationen preisgeben neben ihrem hart verdienten Geld. Bei einem Durchschnittspreis von 50 Dollar pro Stück wird klar, dass mithilfe von FAKEAV gutes Geld zu machen ist. Deshalb erwarten wir künftig noch mehr FAKEAV-Angriffe.
  4. Erweitern Sie Ihren Freundeskreis doch hüten Sie sich vor KOOBFACE Malware. In diesem Jahr debütierte das KOOBFACE-Botnet, dass sich vor allem auf die Nutzer von sozialen Netzwerken und Micro-Blogging-Sites konzentriert. Facebook und Twitter, die beiden Top-Kontaktnetzwerke haben heute weltweit Millionen Nutzer und werden damit zum Lieblingsziel der Angreifer. Die Beliebtheit dieser Sites mag wohl nie da gewesene Dimensionen erreichen, doch die steigende Anzahl der Malware, die sie angreifen, steht diesem Erfolg nicht nach. Die Opfer der KOOBFACE-Varianten werden mit FAKEAV infiziert und enden als Teil des weitverbreiteten KOOBFACE-Botnets oder als Eigner von verseuchten Profilen – Sie können es sich aussuchen.
  5. Besser ausgeklügelte Angriffe bedeuten mehr Opfer. Die Cyberkriminellen erhöhen ihre Ansprüche und verfeinern ihre Angriffe stetig, um mehr Opfer in ihre Fallen zu locken. Eine neue Variante der BEBLOH-Familie von Informationsräubern geht weit über das Loggen von Tastatureingaben und deren Weiterleitung an einen Server hinaus. Die Malware stahl Nutzerinformationen und verwendete sie sofort, um der Entdeckung zu entgehen. Die neueste BEBLOH-Variante erzeugt statische Seiten, die unveränderte Kontoauszüge zeigt, um die eigenen Spuren zu verwischen. Die Opfer entdecken den Diebstahl nur, wenn sie auf ihre Online-Banking-Site von einer nicht infizierten Maschine aus zugreifen.
  6. Kein System ist gegen Sicherheitsangriffe gefeit, und ganz bestimmt nicht der Mac. Die Zeiten, als sich die Mac-Anwender vor den heutigen Bedrohungen sicher fühlen konnten, sind vorbei. Die jüngste Verbreitung von Mac-Angriffen ist ein Beweis für das, was die Sicherheitsforscher schon immer sagten, nämlich, dass kein System gegen Sicherheitsangriffe immun ist, schon gar nicht der Mac. Während die Zahl der Mac-Anwender stetig zunimmt, steigt unglücklicherweise auch die Zahl der Cyberkriminellen, die das Mac OS zum Ziel ihrer Angriffe erkoren haben. Sie strafen die gängige Ansicht, Macs seien sicher, Lügen.
  7. Blackhat SEO Angriffe stürmen die Charts. Als seien die üblichen Blackhat SEO Techniken nicht durchtrieben genug, nutzen Cyberkriminelle jetzt neue raffinierte Gadgets – Google Trends und GeoIP Tracking – um ihre Chancen zu erhöhen, dass User auf Links klicken, die sie zu eigens zusammen gebastelten bösartigen Seiten leiten. Diese Art des Angriffs kann jeden treffen, der im Web nach Informationen sucht. Um sich zu infizieren, bedarf es lediglich eines Klicks auf ein Top-Ranking-Suchergebnis.

Falls Sie sich Sorgen darüber machen, Ihr Computer könnte von einer Cyber-Attacke betroffen sein, so nutzen sie das kostenlose Trend Micro Tool Housecall zur Vorsorge und zum Entfernen von Malware.

8 Dinge, die Sie über KOOBFACE wahrscheinlich noch nicht wussten

Original Artikel von Ryan Flores (Advanced Threats Researcher, Trend Micro)

Sie haben sicher schon davon gehört oder darüber gelesen, dass sich KOOBFACE-Malware über Kontakt-Sites wie Facebook, MySpace und Twitter verbreitet. In Blogs und Malware-Beschreibungen stehen zahlreiche Analysen zur Verfügung. Aber ich möchte wetten, dass die meisten von Ihnen dennoch manche oder alle der folgenden Fakten zu KOOBFACE nicht kennen…

  1. KOOBFACE weiß Bescheid: KOOBFACE kann alle Daten aus Ihrem Facebook-, MySpace- oder Twitter-Profil entwenden. Profilseiten dieser sozialen Netzwerke geben Auskunft über Kontaktdaten (Anschrift, E-Mail-Adresse, Telefonnummer), Interessen (Hobbys u. ä.), Verbindungen (Unternehmen, Universitäten) und den Job (Arbeitgeber, Stelle, Gehalt). Also passen Sie auf – KOOBFACE weiß eine Menge!
  2. KOOBFACE kennt Sie nicht nur über Ihre Profildaten, sondern weiß auch, wie Sie aussehen!: Das Bot-Netz stiehlt nicht nur Profildaten, sondern holt sich auch Ihr Profilbild, damit der Name ein Gesicht bekommt.
  3. URLs zu KOOBFACE-Malware sind entweder auf infizierten oder kostenfreien Hosting-Websites: Ganz recht, man kann auch billig sagen. Aber die Leute, die hinter KOOBFACE stecken, machen regen Gebrauch von infizierten und kostenfreien Hosting-Websites, über die Spam-Mails mit KOOBFACE-Links und Schlagwörtern wie Lustiges Video an Kontaktnetzwerke versendet werden. Der Link führt zu einer gefälschten YouTube- oder Facebook-Site, die wiederum mit der KOOBFACE-Malware verknüpft ist.
  4. KOOBFACE-Zombies verbreiten nicht nur Spam in Kontaktnetzwerken, sie werden auch zu Webservern: KOOBFACE installiert eine Web-Serverkomponente, die den infizierten Computer gewissermaßen zu einem Teil des Malware-verbreitenden KOOBFACE-Netzwerks macht. Infizierte Computer generieren gefälschte YouTube- oder Facebook-Seiten, die ihrerseits zu KOOBFACE-Malware führen.
  5. KOOBFACE-Zombies können neu gepackte Versionen der Malware verteilen: KOOBFACE-Webserver können mit Hilfe von UPX, einem beliebten, ausführbaren Pack-Programm, die von ihnen bereitgestellten KOOBFACE-Binärdateien packen (komprimieren).
  6. Die Hälfte aller KOOBFACE-Infektionen kommen in den USA vor: Das überrascht nicht, da sich dort die meisten Nutzer von Kontaktnetzwerken befinden.
  7. KOOBFACE kann IP-Adressen sperren: KOOBFACE hat, wahrscheinlich um zu verhindern, dass es von neugierigen Virenforschern gesperrt oder ausspioniert wird, eine IP-Sperr-Routine implementiert, durch die Datenverkehr aus einem bestimmten IP-Bereich gesperrt wird.
  8. KOOBFACE kann den Facebook-Spam-Filter überlisten: Facebook, Myspace und Twitter haben kürzlich einen Spam-Filtermechanismus implementiert, der das Versenden von Spam-URLs verhindert. KOOBFACE versucht dies zu umgehen, indem es zuerst ausprobiert, ob Facebook einen KOOBFACE-Spam-Link sperrt oder nicht.

Es gibt also einige Dinge, die Sie vielleicht noch nicht über KOOBFACE wissen. Lust auf mehr? Dann lesen Sie unseren Forschungsbericht In den Tiefen von KOOBFACE: C&C und die Verbreitung über Kontaktnetzwerke druckfrisch aus dem Whitepaper-Bereich von TrendWatch.