Thema: Tausende Webseiten für großangelegte Scareware-Attacke manipuliert

[SiLæncer]

Der Sicherheitsdienstleister Cyveillance berichtet in seinem Blog von einer groß angelegten Scareware-Attacke auf Anwender, für die offenbar mehr als 200.000 harmlose Webseiten manipuliert wurden (weitere Infos zu Scareware liefert der heise-Security-Artikel "Scharlatane und Hochstapler"). Eine wichtige Rolle spielt dabei Googles Suchmaschine, durch die Anwender bei der Eingabe bestimmter Suchbegriffe erst auf die kompromittierten Webseiten stoßen. Bei den Suchbegriffen handelt es sich aber laut Bericht nicht um die üblichen Verdächtigen wie "Britney Spears, "Obama" oder "Paris Hilton". Vielmehr spuckt Google die Links zu den infizierten Seiten erst bei der Eingabe von längeren Wordkombinationen aus.

Die Kriminellen machen sich dabei den Umstand zunutze, dass die meisten Suchanfragen an Google überraschenderweise zwischen vier und fünf Wörtern enthalten sollen. Somit belegen die Kriminellen laut Cyveillance erfolgreich eine "Nische". Damit Google die Folge von Wörtern auch indexiert, installieren die Kriminellen in den eingebrochenen Seiten ein eigenes Blog, das automatisch Einträge anlegt, deren überschriften die gewünschten Wörter enthalten (beispielsweise "las vegas rental no credit check", "real world melinda and danny" oder "uninvited song lyrics alanis morrissette").

Zwar warnt Google üblicherweise in seinen Suchergebnisen vor manipulierten Webseiten, allerdings nur dann, wenn der Link direkt dorthin führt. Bei einer Weiterleitung auf eine bösartige Seite fehlt der Hinweis in den Ergebnissen.

Landet nun ein Opfer auf einer der Seiten, wird es unbemerkt auf einen Server der Kriminellen weitergeleitet, der einen Virenscan der Festplatte vortäuscht und durch vorgetäuschte Schädlingsfunde den Anwender zum Download von mehr oder minder funktionsloser Antivirensoftware drängt. Die Umleitung wird aber nur aktiv, wenn der Anwender als Ergebnis der Google-Suche zur Seite gelangte. Dazu prüft die eingeschleuste Blog-Software den HTTP-Referrer.

Die Server-Domains der Kriminellen sind laut Bericht allesamt beim chinesischen Registrar TodayNIC.com eingetragen und sollen auch bei der Verbreitung des Windows-Wurms Koobface involviert sein. Wie die Kriminellen in die Seiten einbrechen, ist nicht genau geklärt. In einigen Fällen soll aber eine Schwachstelle in der älteren Version 1.4.24 der Fotogallerie-Software Coppermine eine Rolle spielen.

Quelle : www.heise.de

[SiLæncer]

Mit einer Nachricht im HTML-Quellcode zur Verteilung präparierter Videocodecs haben die Betreiber des Koobface-Botnetzes auf einen Artikel des Sicherheitsspezialisten Dancho Danchev reagiert. Danchev hatte im Februar in dem Artikel "10 things you didn't know about the Koobface gang" mehrere Vermutungen zur Arbeitsweise der Botnetz-Betreiber, deren Verbindungen zu anderen Kriminellen und deren Motive aufgestellt.

Der Bot Koobface (Anagramm für Facebook) kursiert sein Mitte des Jahres 2008 und verbreitet sich unter anderem als vermeintlicher Flash-Player über infizierte Heim-PCs. Diese agieren als Server für Malware und spielen bei der Verteilung sogenannter Scareware eine Rolle. Die Links zu den Rechnern verteilt Koobface beispielsweise über Facebook-Nachrichten.

Danchev hatte in seinem Artikel unter anderen auf eine mögliche Zusammenarbeit zwischen dem Koobface-Netz und dem Click-Fraud-Botnetz Bahama hingewiesen. Die Antwort des mutmaßlichen Anführers der Koobface-Gang "Ali Baba" lautet jedoch "No connection". Danchev hatte sich zudem darüber mokiert, dass die Gang zur Erstellung eines Screenshots zum Einbetten in eine gefälschte Youtube-Seite eine nicht registrierte Version von Hypersnap benutzte, obwohl aufgrund der stetigen Geldflüsse doch genug Geld vorhanden sei. Antwort von Ali Baba: "Aus welchem Grund sollte man Software für nur einen Screenshot kaufen?"

Der Koobface-Anfüher widerspricht zudem Danchevs Vermutung, dass Koobface mit den infizierten Werbebanner auf dem Online-Auftritt der New York Times im September 2009 in Verbindung stand. Dabei war es Betrügern gelungen, eigene Banner-Ads über das Werbenetzwerk der Zeitung einzuschleusen, die beim Aufruf der Seiten eingeblendet wurden. Besucher des Online-Auftritts bekamen dann sporadisch Einblendungen von Scareware zu Gesicht.

Die Gruppe gibt allerdings zu, im Rahmen einer Scareware-Kampagne im vergangenen Jahr an der Manipulation mehrerer hunderttausender Sites beteiligt gewesen zu sein. Die Antwort auf die Spekulation Danchevs, dass die Koobface-Bande Erlöse aus dem Scareware-Netzwerk "Crusade Affiliates" bezieht, fällt indes überraschend aus: "Möglicherweise. Nicht hunderprozent sicher."

Quelle : www.heise.de

[ritschibie]

Die Sicherheits-Experten des Unternehmens Sophos haben offenbar die Betreiber des Botnetzes Koobface aufgespürt. In ihrem Blog 'Naked Security' berichten sie von einer kriminellen Gruppe, die sich aus fünf Russen zusammensetzen soll.

Das Koobface-Botnetz wurde aufgebaut, indem zahlreichen Rechner über einen Wurm, der sich in Social Networks wie Facebook verbreitete, übernommen wurden. Dabei gestaltete sich die Bekämpfung des Schädlings nicht gerade einfach, weil dessen Autoren immer wieder neue Varianten ins Rennen schickten. Viele hundert wurden inzwischen identifiziert.

Deshalb liegt ein gewisser Schwerpunkt darauf, die hinter dem Botnetz stehenden Strukturen aufzudecken und zu zerschlagen. Facebook teilte beispielsweise gerade erst mit, dass es gelungen sei, einen der Command-and-Controll-Server stillzulegen.

Noch erfolgreicher wäre es natürlich, die Betreiber zu enttarnen und den zuständigen Polizeibehörden den Rest zu überlassen. Dies scheint nun gelungen zu sein. Die Fünf, denen vorgeworfen wird, hinter dem Botnetz zu stehen, leben den Angaben zufolge in St. Petersburg. Beweise über ihre Verbindungen zu Koobface seien bereits an die russischen Behörden übergeben worden, teilten die Sicherheitsexperten mit.

Damit könnte ein jahrelanger Kampf gegen die Gruppe zu Ende gehen. Die Ursprünge von Koobface reichen bis ins Jahr 2008 zurück. Damals wurden noch Spam-Nachrichten an Nutzer verschickt, in denen ein Video beworben wurde. Wollte ein Nutzer dieses starten, erhielt er die Meldung, dass sein Flash-Player nicht aktuell genug sei und er sich eine neuere Fassung herunterladen soll. Hinter dem Link steckte dann natürlich Malware, die den Rechner infizierte.

Koobface band die Rechner aber nicht nur in ein Botnetz ein. Die Betreiber versuchten auch direkt von den betroffenen Nutzern zu profitieren, indem ihnen angebliche Antiviren-Software angeboten wurde. Zuletzt gelang es den Betreibern aber kaum noch, neue Nutzer zu übertölpeln, weil die Entwickler bei Facebook mit der Zeit recht wirksame Methoden im Kampf gegen den Wurm gefunden hatten und dieser in dem Social Network kaum noch in auftauchte.

Quelle: www.winfuture.de

[SiLæncer]

Die Koobface-Gang hat ihr Botnetz offenbar außer Betrieb gestellt, nachdem am vergangenen Dienstag Informationen über fünf mutmaßliche Gangmitglieder veröffentlicht worden waren. Graham Cluley von Sophos erklärte gegenüber unserer Schwesterpublikation The H, dass die Kommandoserver nicht vollständig offline seien, sondern seit Dienstagmorgen keine Befehle mehr aussenden.

"Sie antworten jetzt nur noch mit 404-Fehlern", sagte Cluley. Er merkte an, dass die fünf identifizierten Männer offenbar schwer damit beschäftigt sind, ihre Profile bei sozialen Netzwerken zu löschen. "Die identifizierten Personen kennen den Bericht und räumen jetzt die verschiedenen Brotkrümel auf, die sie im Internet hinterlassen haben", meint Cluley.

Die mutmaßlichen Botnetz-Betreiber sind offenbar vorsichtiger geworden. Reporter der Nachrichtenagentur Reuters konnten bislang keine der Personen in St. Petersburg ausfindig machen. Die Büroanschrift der im Sophos-Bericht erwähnten Firma Mobsoft ist ein heruntergekommenes Gebäude, in dem sich hauptsächlich Reedereien befinden. Die vor Ort ansässigen Unternehmen haben noch nie von der mutmaßlichen Botnetz-Betreiberfirma gehört. Auch über die offizielle Firmenanschrift und die Telefonnummern des Unternehmens gelang die Kontaktaufnahme nicht.

Facebook hatte am Dienstag angekündigt, die Identitäten der mutmaßlichen fünf Täter veröffentlichen zu wollen, um deren weitere Arbeit zu erschweren. Die Informationen stammen von zwei deutschen Sicherheitsforschern, die die Namen im Zeitraum von 2009 bis 2010 ermittelt hatten. Einer der Forscher arbeitet für den Antivirenhersteller Sophos, der nach der Ankündigung mit einem ausführlichen Bericht vorgeprescht war, welcher auch die Namen der Verdächtigen enthielt.

Quelle : www.heise.de