Aktuelle IT-Nachrichten und Informationen

Am 26. November ist es soweit: Millionen Twilight-Fans fiebern dem Kinostart des zweiten Teils „New Moon“ der Bestsellersaga entgegen, der nächste Woche in unsere Kinos kommt. Schon vorab konnte man Teile des Films und die Schauspieler live erleben, wie letztes Wochenende in München in der Olympiahalle. Kein Wunder also, dass viele Fans ungern bis zum offiziellen Kinostart warten wollen und stattdessen das Internet nach Informationen zum Film und zur Autorin Stephenie Meyer durchforsten.

Doch Vorsicht: PC Tools, der australische Anbieter von Sicherheitssoftware, warnt vor einem neuen Trick von Cyberkriminellen, bei dem die Twilight-Fans im Mittelpunkt stehen. Nutzer, die im Internet nach Stephenie Meyer suchen, erhalten auf 365multimedia.com ein angebliches Interview mit der Autorin und den Schauspielern als Treffer. Klickt ein Fan nun auf diesen Link, so öffnet sich ein Fenster das über eine vermeintliche Infektion mit Malware informiert und empfiehlt gefälschte Antivirensoftware herunterzuladen, um die Infektion zu beseitigen. Zusätzlich soll der Nutzer seine Kreditkarteninformationen eingeben - und hier beginnt der eigentliche Schaden: denn mit der falschen Software schleusen die Cyberkriminellen gleichzeitig Malware namens “Vampire Byte” auf den Computer, die sämtliche Kontodaten, die der Nutzer eingibt, ausspioniert und an die Online-Betrüger weiterschickt. Am Ende hat dann der Twilight-Fan immer noch kein Interview gesehen - aber der Kriminelle alle Kontoinformationen, um dem Fan finanziell zu schaden.

Nach Meinung der Experten von PC Tools ist dieser Schädling nur die Spitze des Eisbergs in Sachen Twilight-Schadsoftware. Spätestens mit dem Kinostart ist mit weiteren Bedrohungen über angebliche Twilight-Fanportale zu berechnen.

Forscher der Security-Firma Finjan sind einem neuen Supertrojaner auf die Spur gekommen, der es insbesondere auf die Bankdaten und das Geld seiner Opfer abgesehen hat. Dabei geht die auf dem Toolkit LuckySpoilt basierende Malware “URLzone” so gevieft vor, nur einen gewissen Prozentsatz des auf einem Konto befindlichen Vermögens zu klauen, um nicht so schnell aufzufallen. Zusätzlich klinkt sie sich beim Online-Banking in den Browser ein und zeigt falsche Kontostände an, um den User in Sicherheit zu wiegen. Der Bank-Trojaner, der im übrigen auch in anderen Web-Accounts wie PayPal, Google Mail und Facebook herumschnüffelt, besitzt Funktionen, die eigens dafür entwickelt wurden, Security-Software zu täuschen.

“Es handelt sich um einen Bank-Trojaner der nächsten Generation. Das ist Teil des neuen Trends, immer fortschrittlichere Malware zu programmieren, die für das Austricksen von Sicherheitssystemen optimiert ist”, sagt Ben Itzhak von Finjan. Auch der Sicherheitsexperte Toralv Dirro von McAfee stimmt ihm zu. “Der Trend geht eindeutig hin zu aufwändigeren Trojanern. Kriminelle Gruppen entwickeln das ganz gezielt weiter, heute arbeitet eine ganze Reihe von Trojanern so wie der Beschriebene. Man kann das als eine Art Wettrüsten zwischen den Cyberkriminellen, Banken und der Sicherheitsindustrie interpretieren”, sagt er im pressetext-Gespräch.

Zielgruppe des Trojaners waren die Kunden einiger deutscher Banken, die man vonseiten Finjans nicht nennen wollte. Insgesamt wurden mithilfe des Trojaners rund 300.000 Euro erbeutet. “Das halte ich noch für relativ wenig Beute, was wahrscheinlich an der relativ geringen Zahl der Infektionen lag. Normalerweise werden aber auch keine Informationen über die Höhe des finanziellen Schadens bekannt gegeben”, so Dirro. Die Server, von der die Malware gesteuert wurde, konnten in der Ukraine lokalisiert werden. “Das läuft über sogenannte Bulletproof-Hoster. Die gibt es weltweit. Sie sind teurer als andere Hoster und lassen ihre Kunden dafür hosten, was sie wollen. Sie behaupten, der Inhalt der Server sei Sache der Kunden und gehe sie nichts an”, sagt der Experte. Die deutschen Behörden sind informiert.

300.000 Euro erbeutet

Die Finjan-Mitarbeiter schafften es, die Kommunikation des Trojaners auf einem infizierten System abzuhören und auf diese Art den Kommandoserver aufzuspüren. Diesen hatten die Cyberkriminellen unvorsichtigerweise nicht ausreichend gesichert, wodurch die Security-Experten allerlei Daten über den Trojaner beschaffen konnten, darunter auch Statistiken zu den Infektionen. Insgesamt sollen rund 90.000 Computer die Seiten, auf denen der Schädling gehostet war, besucht haben. Davon infizierten sich 6.400 mit der Malware - eine Erfolgsquote von 7,5 Prozent. Von ein paar hundert der infizierten Computer wurde tatsächlich Geld gestohlen, insgesamt etwa 300.000 Euro. Nach 22 Tagen verschwand der Trojaner Ende August wieder - offenbar hatten die Cyberkriminellen bemerkt, dass man ihnen auf der Spur war.

Infiziert wurden die Computer auf zwei verschiedene Methoden. Zum einen erhielten Opfer E-Mails, in denen Links enthalten waren, die sie auf eine zur Verbreitung des Trojaners erstellte Website lotsten. Die zweite Möglichkeit, sich den Trojaner einzufangen, war der Besuch von durch die Malware unterwanderten Internetseiten. So oder so, der Schädling nutzte eine bekannte Sicherheitslücke in gängigen Internetbrowsern aus, um sich auf der Festplatte des Opfers einzunisten und dort bis zum Aufruf der Internetseiten der Zielbanken in eine Art Schläfermodus zu verfallen.

Startet der User Online-Banking-Dienste, wird die Malware aktiv. Sie kapert den Browser, analysiert den Kontostand, ermittelt einen Betrag, der ohne großes Aufsehen entwendet werden kann und überweist diesen auf das Konto eines Strohmanns, der einen kleinen Anteil an den erbeuteten Summen erhält. Anschließend wird der vom User beim Besuch der Banken-Website eigentlich erwartete Kontostand eingeblendet, wodurch dieser keinen Verdacht schöpft - zumindest solange er sich für seine Bankgeschäfte ausschließlich auf dem infizierten Computer anmeldet. Die Verwendung von Strohmännern scheint bei derartigen Angriffen gängige Praxis zu sein. “Diese sogenannten Mules sind ebenfalls Opfer. Das sind Leute, die auf dubiose Jobangebote als Finanzagent reinfallen. Sie werden in den meisten Fällen erwischt und wegen Geldwäsche angezeigt”, weiß Dirro. Den Hintermännern ist freilich sehr viel schwerer beizukommen.

Eine kritische Sicherheitslücke ermöglicht Bilderversand per SSL. Die Malware durchsucht den Wirtscomputer auch nach Dateien. Die Verbreitung erfolgt über eine Word-Datei mit einem ActiveX-Steuerelement.

Eine Malware, die die als kritisch eingestufte Sicherheitslücke MS09-002 im Internet Explorer 7 ausnutzt, erstellt in regelmäßigen Abständen Screenshots von den befallenen PCs und schickt sie über eine HTTPS-Verbindung an einen Server im Internet, der mutmaßlich von den Entwicklern des Trojaners kontrolliert wird. Das berichtet der Sicherheitshersteller Trend Micro in einem Blogeintrag.

Die Erstinfektion erfolgt über ein Word-Dokument mit einem ActiveX-Steuerelement, das als Spam versendet wird. Öffnet man dieses Dokument, so lädt das ActiveX-Element einen als HTML_DLOADER.AS bekannten Schadcode von einem Webserver. Über diesen Weg wird der eigentliche Schadcode BKDR_AGENT.XZMS auf den Rechner des Benutzer kopiert.

Die Malware erstellt nicht nur Screenshots, sondern durchsucht den Computer auch nach Dateien. Ferner öffnet sie ein unsichtbares Browserfenster, über das sie auf Befehle vom Command-and-Control-Server wartet.

Um sich vor dem Angriff zu schützen, sollte man die offiziellen Patches des Februar-Patchdays möglichst bald einspielen. Ferner sollte man verstärkt auf Word-Dokumente von unbekannten Absendern achten. Sie könnten den HTML-DLOADER.AS-Schadcode enthalten.

Emails waren schon immer ein beliebtes Mittel, um Malware zu verbreiten. Nun scheint die Zeit für einen Schädling, der in einer außergewöhnlichen Weise auf sich aufmerksam macht, reif zu sein. Um das Interesse möglichst vieler Internetnutzer zu gewinnen, tarnt sich der Schädling hinter einer Email mit dem Betreff “2012: Das Jahr in dem das Internet stirbt.” Im Dateianhang werden weitere Informationen versprochen. In Wirklichkeit verbirgt sich dahinter Malware, die einem Angreifer den Einbruch in das jeweilige System ermöglicht.

Mehrere Sicherheitsanbieter berichten von einer neuen Spamwelle. In der auf elektronischem Wege verschickten Post wird behauptet, dass im Jahr 2012 das Internet sein Ende finden soll. Wer in seinem Postfach Emails mit dem Betreff “Secret Plan To Kill Internet By 2012: Leaked?” oder “2012: The Year The Internet Ends” entdeckt, sollte in jedem Fall auf der Hut sein. Weitere Details bezüglich der angeblichen Verschwörung hat der Absender als Portable Document Format (PDF) in den Anhang gepackt. Abgesehen davon, dass die Behauptung frei erfunden ist, beinhaltet der Anhang einen Schädling namens Pidief.A/PDFex-A. Im schlimmsten Fall kann dieser die Windows-Firewall deaktivieren und weiteren Schadcode auf das System einschleusen.

Im weiteren Verlauf der Email wird behauptet, dass bereits Pläne geschmiedet wurden, die die Form des Internets grundsätzlich verändern sollen. Vom bislang bekannten freien Netz soll in vier Jahren nicht mehr viel übrig sein. Das neue Model weist angeblich Ähnlichkeiten mit einem “Fernseh-Abo” auf. Das Softwarehaus Symantec hat den Spuk genauer unter die Lupe genommen. Dabei kamen die Sicherheitsexperten zum Ergebnis, dass über 70 Prozent des Junk-Mails in den USA ihren Ursprung haben. Dicht dahinter kommen neun Prozent aus Großbritannien. Auf dem letzten Platz mit sechs Prozent reiht sich Kanada ein. Verglichen mit anderen Spam-Mails weist diese Variante eine außergewöhnliche Idee auf. So wird behauptet, dass die Netzneutralität in den kommenden Jahren verloren geht. Die Internetanbieter würden dann den Zugang zu Webseiten ihrer Partner schnell gestalten, alle anderen Seitenaufrufe werden laut der Verschwörungstheorie der Junkmails stark ausgebremst und dadurch unbrauchbar gemacht. Man orakelt zudem, der Anteil von Video-Streamingseiten würden die Internetkapazitäten schon in Kürze an seine Grenzen bringen. In gewissen Ländern sollen exklusive Internetrechte für bekannte Inhalte reserviert werden.

Dank der Spam-Filter ist der Umgang mit den Mails recht einfach. Bislang sind nur wenige Variationen der Verschwörungs-Email im Umlauf. Zusätzlich beinhalten alle diese Emails einen Dateianhang, die die Filtereinstellung weitgehend vereinfacht. Wer auf seinem PC einen gängigen Antiviren-Scanner installiert und diesen zudem in den letzten neun Monaten (solange treibt der Schädling bereits sein Unwesen) aktualisiert hat, sollte mit der Erkennung des Schädlings keine Probleme haben. (gS-)