Thema: Monster-Trojaner stiehlt Daten von Arbeitssuchenden

[SiLæncer]

Die Sicherheitsdienstleister Symantec und SecureWorks haben einen Trojaner entdeckt, der Arbeitgeber-Zugänge von Monster.com nutzt, um an persönliche Daten von Arbeitssuchenden zu kommen. Der Troajner wird per E-Mail-Anhang und durch Webseiten verbreitet, die Schwachstellen in Webbrowsern und weiterer Software ausnutzen. US-amerikanische Medien berichten aber auch von Werbung auf Monster.com, die den Schadcode auf die Rechner der Opfer schleust.

Der Trojaner Infostealer.Monstres (Symantec) beziehungsweise PrgTrojan (SecureWorks) wird mit einer Baukasten-Software erstellt. Er nutzt einen eigenen, neuen Laufzeitpacker und kennt zahlreiche Möglichkeiten, seinen schädlichen Code zu verschleiern, indem er etwa einfache Operationen mit langen, umständlichen Aufrufen ersetzt. Das soll einerseits die Erkennung mit Signaturen, andererseits eine heuristische Erkennung durch Antivirensoftware verhindern. Gesammelte Daten verschicken infizierte Rechner über Proxies an die eigentlichen Server, die sich so nur schwer aufspüren lassen. Diese lagern die Daten verschlüsselt, damit sie Dritte nicht einfach einsehen können.

Der Trojaner klinkt sich in mehrere Systemfunktionen ein, um sich mit Rootkit-Techniken zu verstecken. Außerdem überwacht er die Internetkommunikation, indem er sich in die Winsock-Bibliothek und die WinInet.dll einhakt. Daten, die per gesicherter SSL-Verbindung verschickt werden, kopiert er unverschlüsselt aus dem Arbeitsspeicher und versendet sie an die Sammel-Server.

Zusätzlich nutzt Infostealer.Monstres gestohlene Zugangsdaten zu den Arbeitgeber-Seiten von Monster.com, um persönliche Daten von Arbeitssuchenden zu sammeln. Die Daten fragt der Trojaner über die Subdomains hiring.monster.com und recruiter.monster.com ab, wodurch hauptsächlich englischsprachige Arbeitssuchende betroffen sind. Zu den Daten, die der Schädling ausspäht, gehören unter anderem die Sozialversicherungsnummer, Kontodaten, Name respektive Anschrift, Telefonnummern, E-Mail-Adressen sowie Benutzernamen und Passwörter.

Symantec hat auf einem Server mehr als 1,6 Millionen Datensätze entdeckt, die zu mehreren hundertausend Jobsuchenden gehören, die dem Sicherheitsdienstleister zufolge größtenteils aus den USA kommen. Der Trojaner kann auch Spam versenden. Dabei hat Symantec auch Verbindungen zum Schädling GPCoder ausgemacht, der Daten auf der Festplatte verschlüsselt und betroffene Anwender um Geld für ein Entschlüsselungswerkzeug erpresst. Monster.com-Phishing-Mails mit GPCoder im Anhang sollen von den kriminellen Idividuen verschickt worden sein. Diese Phishing-Mails enthielten persönliche Daten der Opfer und sahen echten Monster.com-Mails recht ähnlich.

Zum Schutz vor diesem und ähnlichen Schädlingen helfen die üblichen Sicherheitsmaßnahmen: Alle Updates für das Betriebssystem und verwendete Software einspielen, keine Anhänge in unerwarteten E-Mails öffnen oder Links darin folgen sowie eine aktuelle Antivirenlösung einsetzen. Weitere Hinweise zum Schutz vor Schädlingsbefall liefern die Antiviren-Seiten von heise Security.

Quelle und Links : http://www.heise.de/security/news/meldung/94570

[SiLæncer]

Anfang dieser Woche wurde bekannt, dass ein Trojaner Zugangsdaten von Arbeitgebern und Headhuntern missbraucht hat, um an Daten von Arbeitssuchenden zu gelangen. Bislang war lediglich bekannt, dass bis zu 1,6 Millionen Datensätze von mehreren hunderttausend zumeist US-amerikanischen Jobsuchenden in die Hände der Datendiebe fielen.

Jetzt hat Monster sich zu dem Vorfall geäußert. Die Diebe hätten vertrauliche Daten von mehr als 1,3 Millionen Nutzern ausspähen können. Die Angreifer hätten ukrainische Server und infizierte Rechner für den Angriff genutzt. Dabei hätten sie Namen, Adressen, Telefonnummern und E-Mail-Adressen von Monster-Nutzern ausgespäht; an Bankdaten seien sie dabei jedoch nicht gelangt.

Die Server in der Ukraine, die zum Zugriff auf die Monster-Datenbank genutzt wurden, konnten auf Anfrage von Monster beim Hosting-Provider vom Netz genommen werden. Die Datendiebe wollten mit den gestohlenen Daten offenbar persönlichere Spam- und Phishing-Mails versenden sowie Strohmänner für das Leerräumen von Konten mit anderweitig gestohlenen Kontozugangsdaten anheuern.

Ramona Kesch von Monster Deutschland bestätigte gegenüber heise Security, dass die mehr als 1,3 Millionen gestohlenen Datensätzen hauptsächlich zu US-amerikanischen Bürgern gehörten. Etwa 5000 Datensätze stammten jedoch aus anderen Ländern. Monster Deutschland seien bislang aber noch keine betroffenen deutschen Nutzer bekannt. Man prüfe die Datensätze jedoch noch. Die Frage, ob die Daten deutscher Nutzer auf den US-Servern liegen oder ob Server und Datenbanken von dem US-Unternehmen und der deutschen Tochter getrennt seien, konnte Kesch nicht beantworten. Der Times teilte Monster jedoch mit, dass die Daten der 3,2 Millionen britischen Monster-Nutzer auf den Servern der US-Mutter des Unternehmens lagern und daher auch ausgespäht worden sein könnten.

Quelle : www.heise.de

[SiLæncer]

Hinter einem massenhaften Datendiebstahl bei der Jobbörse monster.com stecken Hacker, die womöglich Helfer für die Geldwäsche rekrutieren wollen. Die Angreifer verschafften sich mehr als eine Million persönliche Einträge - und verschickten sogleich allzu verlockende Angebote.

"Wir bieten Ihnen mehr an als nur einen Job - sondern die Möglichkeit, wirklich viel Geld zu verdienen, ohne viel zu arbeiten." Spam-Mails erinnern häufig an Briefe aus dem Schlaraffenland. Aber die Welle, aus der der obige Satz stammt, ist in vielerlei Hinsicht bemerkenswert. Die Adressdaten stammten aus der Datenbank der US-Jobbörse monster.com, die Mails wurden dem Anschein nach von derselben Jobbörse abgeschickt - und die angepriesenen Arbeitsplätze gelten als Fassade für Geldwäsche-Aktionen.

Nicht nur dass die Anschreiben Geld ohne Arbeit versprechen - das ist längst ein Betrüger-Standard, der sich von dubiosen Kleinanzeigen ins Netz ausgebreitet hat. Die E-Mails mit dem paradiesischen Angebot waren sogar namentlich adressiert. Wer den Job übernehme, der bekomme gleich zu Anfang einen "Startup-Bonus" von 500 Dollar, hieß es darin. Nur eines ist nötig: ein Konto bei der Bank of America.

Das braucht man als "Transfer Manager", wie der Job heißt - laut Fachleuten ein Kosewort für Geldwäscher. Ein "Transfer Manager" stellt sein Konto zur Verfügung, um Gelder umzuleiten. Die wurden womöglich über Phishing oder andere Methoden ergaunert. Wer dumm genug ist, bei einer solchen Aktion mitzumachen, hilft beim Verwischen von Verbrechensspuren und wird so zum Komplizen von Betrügerbanden.

Oder zum Opfer - denn man müsse nicht unbedingt ein Konto bei der Bank of America eröffnen, wenn man schon eines habe, teilen die Verfasser der freundlichen E-Mail mit. Dann reiche es, die vollständigen Kontodaten an den so großzügigen künftigen Arbeitgeber weiterzuleiten. Namen, Anschriften, Telefonnummern und E-Mail-Adressen der Betroffenen hatten die Betrüger ja bereits aus der Datenbank von monster.com. Mit dieser Datenfülle kann ein Bösewicht so manche Gemeinheit anstellen, die den eigentlichen Kontoinhaber in ernste Schwierigkeiten bringen kann.

Login-Daten von Personalmanagern benutzt

An die Daten kamen die Täter über einen Trojaner, ein Spähprogramm namens " Infostealer.Monstres". Dieses war bereits am 16. August entdeckt worden. Die Angreifer hatten damit in großem Stil Informationen von den Servern von monster.com abgezweigt. Laut der Sicherheitsfirma Symantec "scheint der Trojaner die (vermutlich gestohlenen) Login-Daten einer Reihe von Personal-Recruitern zu nutzen, um sich in die Website einzuloggen, und dann Suchanfragen nach den Lebensläufen von Kandidaten in bestimmten Ländern oder bestimmten Berufsfeldern zu starten".

Insgesamt kopierten die Hacker weit über eine Million Datensätze auf einen von ihnen kontrollierten Server - und begannen offenbar sofort damit, die persönlichen Informationen für die zweifelhaften Job-Angebote einzusetzen.

Inwieweit mit den E-Mails tatsächlich Geldwäscher angeworben wurden, oder ob nur die Kontonummern möglichst vieler argloser Opfer eingesammelt werden sollten, ist unklar. Für die Betreiber von monster.com, die schon vergangene Woche den Datenverlust einräumten, ist die Sache jedenfalls mehr als peinlich. Virenschutz-Softwarehersteller Symantec spricht in einem Blog-Eintrag von 1,6 Millionen Nutzerprofilen, die auf einem von den Hackern kontrollierten Server entdeckt worden seien. Monster.com will nur 1,3 Millionen gefunden haben. Der größte Teil der Betroffenen lebt in Nordamerika, 5000 Datensätze stammen aus anderen Teilen der Welt. Ob auch deutsche Kunden der Jobbörse betroffen sind, wisse man noch nicht, teilte der Betreiber auf Anfrage von SPIEGEL ONLINE mit.

Server inzwischen abgeschaltet

Laut monster.com wurde der Server mit den geklauten Datensätzen "identifiziert und abgeschaltet". Auch die oben beschriebenen E-Mail-Aktivitäten werden per Warnhinweis auf der deutschen monster.de-Seite bestätigt - allerdings unter Vorbehalt: "Das Ziel dieses Vergehens war höchstwahrscheinlich der Versand von E-Mails, die den Anschein erwecken sollen, von monster zu stammen. Der Empfänger wird in diesen E-Mails dazu aufgerufen, mit Viren belastete Software herunterzuladen oder sich an Geldtransaktionen zu beteiligen."

Oliver Auerbach vom deutschen Virenschutz-Hersteller Avira bestätigte auf Anfrage von SPIEGEL ONLINE jedoch, dass nicht nur die theoretische Möglichkeit solcher Phishing-Versuche bestehe: Von Kollegen aus der Sicherheitsbranche habe man von konkreten Fällen erfahren, in denen monster.com-Nutzer entsprechende E-Mails mit dem allzu verlockenden Jobangebot erhalten hatten.

Grundsätzlich gilt - nicht nur für Kunden von monster.de und monster.com -, was man als umsichtiger Internetnutzer ohnehin beachten sollte: Lieber nicht auf E-Mails antworten, die viel Geld für wenig Arbeit versprechen - und auf gar keinen Fall einem potentiellen Arbeitgeber, mit dem man noch nie Kontakt hatte, seine Kontodaten übermitteln. Schon gar nicht, wie es im Symantec-Blog süffisant heißt, wenn dieser Arbeitgeber wie im vorliegenden Fall laut eigenen Angaben in Russland sitzt, während die Firmenwebseite auf einem Server in der Ukraine gehostet wird.

Quelle : www.spiegel.de

[SiLæncer]

Teile der Job-Börse Monster.com mussten wegen einer Verseuchung mit einem Angriffs-Toolkit zeitweilig vom Netz genommen werden. Besucher der betroffenen Seiten wurden auf eine Malware-Site umgeleitet.

Angreifer haben sich am Montag Zugang zu einem Web-Server von Monster.com verschafft und einen Teil der Seiten mit einem iFrame präpariert, der Besucher zu einer anderen Website umgeleitet hat. Diese, mit dem Angriffs-Toolkit "Neosploit" ausgestattete Site hat dann versucht Malware einzuschleusen. Betroffen waren Teile des "Monster Company Boulevard", wo Besucher Stellenangebote nach Firmen sortiert einsehen können. Die manipulierten Seiten mussten für mehrere Stunden vom Netz genommen werden, sind inzwischen jedoch restauriert und wieder online.

Das Neosploit-Kit ähnelt dem bekannteren "MPack", es nutzt also bekannte Sicherheitslücken im Browser und im Betriebssystem aus, um Malware einzuschleusen. Nach Angaben von Roger Thompson, Technischer Direktor bei Exploit Prevention Labs haben die Angreifer einen iFrame in einige Seiten eingefügt, der die Besucher auf einen Server in Australien umgeleitet hat.

Thompson sieht in diesem Server eine Verbindung zum notorischen Russian Business Network (RBN), das regelmäßig mit Angriffen durch iFrame-Umleitungen in Zusammenhang gebracht wird. Der Angriffs-Code sei gut verschlüsselt, sodass nicht so einfach festzustellen sei, welche Exploits genutzt würden. Der deutsche Monster-Ableger ist nicht betroffen gewesen.

Monster.com war zuletzt im August durch Malware-Angriffe auf seine Besucher aufgefallen. Ein Trojanisches Pferd hatte Zugriff auf persönliche Daten von mehr als 100.000 Job-Suchenden erlangt und sie an einen Server der Angreifer übermittelt.

Quelle : www.pcwelt.de

[SiLæncer]

Die Job-Börse Monster ist wieder Opfer eines groß angelegten Datendiebstahls geworden. Das lässt sich einer etwas versteckten Mitteilung auf der Website des Dienstes entnehmen. Demnach sei unerlaubt auf die Datenbank des Unternehmens zugegriffen worden. Dabei seien den Eindringlingen unter anderem Zugangsdaten, Namen, Telefonnummern, Email-Adressen und einige demografische Daten in die Hände gefallen, jedoch keine Bewerbungsunterlagen oder die in den USA auf dem Datenschwarzmarkt sehr begehrten Sozialversicherungsnummern.

Bisher hat Monster seine Benutzer noch nicht direkt informiert. Auch USAJobs, die offizielle Job-Website der amerikanischen Regierung, macht seine User auf den Einbruch aufmerksam. Das Karriere-Portal musste bereits im August 2007 einen großangelegten Datendiebstahls melden. Damals hatte ein Trojaner den Zugang für Arbeitgeber und Headhunter missbraucht, um 1,6 Millionen Datensätze zu stehlen.

Quelle : www.heise.de