Seit Anfang November 2009 setzen Online-Kriminelle zunehmend auf die Naivität von Teilnehmern in sozialen Netzen. Trend Micro hat die jüngsten fünf Vorfälle beschrieben.

1. Getarnte Phishing-Attacke

Aktuell warnt Trend Micro warnt vor einer Phishing-Attacke, bei der Cyberkriminelle vorgetäuschte Trend Micro-E-Mails versenden. Die vermeintlichen Trend Micro-E-Mails haben den Betreff "Malware-Blocking-Tests stellen Trend Micro an die Spitze" und informieren die Empfänger über die angeblich vor kurzem veröffentlichten Ergebnisse des unabhängigen Testinstituts NSS Labs. Dabei wird auch beschrieben, wie die Tests durchgeführt wurden, bei denen es um das Erkennen von "mit Methoden des Social Engineering erzeugter Malware" geht. Die genannte Phishing-Attacke ist selbst ein perfektes Beispiel für die Social Engineering-Methode, um die vertrauenswürdigen Daten von Anwendern auszuspionieren.

Traditionelle Spamfilter bieten leider keinen ausreichenden Schutz vor einer derartige der Phishing-Mail. Daher warnt Trend Micro Anwender, die in den gefälschten E-Mails angegebenen Links anzuklicken, da sie alle auf eine Phishing-Site führen. Die Site, die bereits im September 2009 s angelegt wurde, ahmt die Webadresse von Trend Micro nach, so dass die Anwender den Angriff bis zuletzt nur sehr schwer erkennen können.

2. Intelligenz-Test bei Twitter

Trend Micro warnt vor einem gefälschten Intelligenz-Test, der unter Twitter-Nutzern die Runde macht. Denn dahinter stehen Cyberkriminelle, die an die Handynummern der Anwender herankommen wollen. Die Nummern könnten zum Beispiel für den Versand von SMS-Nachrichten verwendet werden, für die dann die ahnungslosen Twitter-Nutzer die Rechnung bezahlen müssten.

Die Attacke ist nur schwer zu erkennen, weil die Cyberkriminellen legitime Twitter-Konten manipulieren, über die dann so genannte Direct Messages an Freunde des jeweiligen Kontoinhabers verschickt werden. Diese Nachrichten enthalten den Link zu einer gefälschten Testseite, wo angeblich der Intelligenz-Quotient (IQ) ermittelt wird.

Daher rät Trend Micro allen Twitter-Nutzern dringend, auf keinen Fall auf Links in Direct Messages zu klicken, die zum Intelligenztest auffordern, auch wenn der Absender der Nachricht ihnen bekannt ist. Diejenigen Nutzer, die befürchten, ihre Konten könnten von den Cyberkriminellen infiziert worden sein, sollten so schnell wie möglich ihr Twitter-Kennwort ändern.

3. Gefälschte Facebook-Konten

Trend Micro warnt vor einer neuen Komponente des Koobface-Botnetzes, die sich als Facebook-Anwender tarnt. Dazu nutzt die Schadsoftware den Internet Explorer, um automatisch und unbemerkt ein neues Facebook-Konto anzulegen und zu registrieren. Dabei macht Koobface zu jedem gefälschten Konto Angaben wie Geburtstag oder Lieblingsmusik und lädt ein Photo hoch - ganz so als ob das Konto von einem Menschen angelegt würde. Angaben und Photos wiederholen sich nicht, sondern sind bei jedem gefälschten Konto anders.

Um das Konto zu aktivieren, bestätigt Koobface die E-Mail-Adresse in Google Mail und tritt dann per Zufallsprinzip Facebook-Gruppen bei. Dort werden Anwender ausgewählt, die von der Schadsoftware durch das Hinterlassen einer Nachricht als Freunde eingeladen werden. Beim Anklicken des in der Nachricht angegebenen Links werden die ahnungslosen Nutzer auf eine gefälschte Facebook- oder YouTube-Seite umgeleitet, die weitere Koobface-Komponenten enthält. Um trotz dieser Attacke der Aufmerksamkeit der Facebook-Administratoren zu entgehen, achtet Koobface darauf, die maximal zulässige Anzahl an Einladungen nicht zu überschreiten.

Anwender sollten daher auf Nachrichten ihnen unbekannter Facebook-Anwender nicht reagieren und schon auf gar keinen Fall auf dort enthaltene URLs klicken.

4. Missbrauch des Google Readers

Seit dem 9. November warnt Trend Micro vor einer neuen Entwicklung des Koobface-Botnetzes, die den Google Reader Service missbraucht. So hat das Threat-Research-Team von Trend Micro entdeckt, dass Google Reader-Webadressen von Koobface als Spam-Nachrichten in sozialen Netzwerken verbreitet wurden. Dazu wird auf Google-Benutzerkonten, die von den Kriminellen hinter Koobface kontrolliert werden, ein gefälschtes YouTube-Video veröffentlicht. Wer auf das Video klickt, wird zu einer infizierten Website umgeleitet - auf der sich ein weiteres gefälschtes YouTube-Video befindet. Von dort aus wird der Rechner des Anwenders infiziert, der dadurch Teil des Koobface-Botnetzes wird.

Seit Anfang November 2009 wurden rund 1.300 kompromittierte Google Reader-Konten beobachtet. Trend Micro hat Google über diesen Vorfall bereits unterrichtet. Das Trend Micro-Forschungsteam beobachtet kontinuierlich die kriminellen Koobface-Aktivitäten, insbesondere das Spammen von Webadressen auf sozialen Netzwerken wie Facebook, MySpace und Twitter.

Bei Google Reader handelt es sich um einen kostenlosen Service, mit dem Anwender Websites nach neuen Inhalten durchsuchen lassen sowie diese neuen Inhalte untereinander austauschen können. Diese Funktion, Inhalte untereinander zu teilen, wird von den Cyberkriminellen durch das Spammen von bösartigen Links missbraucht.

Anwender, die befürchten, ihr Rechner könnte befallen sein, sollten vorerst auf den Google Reader-Service so lange verzichten, bis sie die dafür nötige Abwehrsoftware installiert haben.

5. Ferngesteuerte Windows-Rechner

Das Geschäft der Malware-Verteilung scheint öffentlich geworden zu sein. So wurde der Elite Loader samt Quellcode vor kurzem auf einem der russischen Untergrundforen veröffentlicht - inklusive einer ausführlichen Beschreibung sowie Screenshots, die zeigen, wie der Command and Control (C&C) Server zu benutzen ist. Hinter dieser Veröffentlichung steckt der in einschlägigen Kreisen wohlbekannte "Lonely Wolf", einem der Moderatoren des Untergrundforums DaMaGeLaB. Dort sind auch die detaillierten Anweisungen und Bedrohungs-Einträge zu finden, die es sogar Skript-Anfängern leicht machen, ihre eigene Schadsoftware zu erzeugen.

Der Elite Loader macht die infizierten Maschinen zu Zombie-Rechnern in einem Botnetz und erlaubt Cyberkriminellen, sowohl bösartige Dateien abzulegen als auch zusätzlich Schadsoftware auf die Zielsysteme oder Bots hochzuladen, um Kennwörter zu stehlen und Spam oder Module für Distributed Denial of Service (DDoS) zu installieren.

Der Kommando- und Kontrollserver des Elite Loader umfasst auch signifikante Statistiken und nutzt eine Log-Filtering-Funktionalität, um das Herunterladen der Module von den ferngesteuerten Rechnern in verschiedenen Ländern zu verwalten. Der Server kann auch Bot-Rechner nach ihrem Standort aktivieren oder deaktivieren. Die Schadsoftware selbst ist nur 8 KB groß, sodass der Prozess des Ablegens relativ unbemerkt ablaufen kann. Sie funktioniert perfekt auf Microsoft XP Service Packs 1, 2, und 3 sowie auf Vista-Betriebssystemen und unterstützt mehrere Job-Instanzen.

Werkzeuge zum Schutz der Anwender vor all den hier beschriebenen Bedrohung gibt es bereits am Markt. (rw)