Vom Regen in die Traufe: KOOBFACE oder FAKEAV?

Schreibe eine Antwort

Original Artikel von Jonell Baltazar (Advanced Threats Researcher, Trend Micro)

Das Koobface-Bot-Netz  ist berüchtigt dafür, FAKEAV oder betrügerische Antiviren-Malware auf die Computer seiner Opfer zu installieren – für das Installieren von FAKEAV ist eine spezielle Komponente zuständig. Jetzt aber hat die Koobface-Gang eine weitere Falltür in ihre gefälschte Facebook-Seite eingebaut:

Sobald der Benutzer das Fenster oder die Registerkarte „Facebook“ schließt, wird ein Popup-Fenster angezeigt. Egal, auf welche Schaltfläche der Benutzer klickt – die neue Koobface-Variante wird auf den Computer heruntergeladen. Das folgende Video veranschaulicht den Vorgang:

Mit diesem Skript führen die Cyber-Kriminellen die neue Routine aus, die allerdings nur funktioniert, wenn die gefälschte Seite über den Internet Explorer geöffnet wird.

KOOBFACE-Skript
Abbildung 1: Koobface-Skript

Das oben stehende Skript lässt dem Benutzer nur die Wahl zwischen zwei Übeln: Schließt er das Browser-Fenster, wird eine FakeAV-Variante heruntergeladen (entdeckt als TROJ_FAKEAV.FGR), klickt er dagegen irgendwo an anderer Stelle auf der Webseite, wird ein Koobface-Loader heruntergeladen (entdeckt als WORM_KOOBFACE.AZ).

Ähnliche Artikel:

  1. Das wahre Gesicht von KOOBFACE
  2. Betrügerischer Virenschutz beendet EXE-Dateien
  3. Ein Blick zurück: Vor sechs Jahren war MSBLAST
  4. Facebook-Anwendungen für Phishing verwendet
  5. Bösartige Twitter-Einträge werden immer persönlicher

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.