Abuse.ch verfolgt Aktivität von Feodo

Seit Ende Dezember beobachten Experten eine großangelegte Spam-Kampagne, die die Verbreitung des Windows-Schädlings Feodo alias Cridex alias Bugat zum Ziel hat. Viele dieser Spam-Mitteilungen wurden in deutscher Sprache verfasst und imitieren Benachrichtigungen bekannter Banken und Telefonkommunikationsanbieter.

Cisco, G Data und die Deutsche Telekom haben bereits Warnungen vor Spam mit schädlichen Links veröffentlicht. Nach Aussage der Ermittler werden die gefälschten Schreiben von gehackten E-Mail-Accounts verbreitet; 88,4% sind an deutschsprachige Anwender adressiert und wurden im Namen der Volksbank, der Deutschen Telekom, im Namen von Vodafon D2 oder NTTCable verfasst. Die Spammer informieren den Empfänger über den Erhalt einer Rechnung eines Telefon-Anbieters oder über die Durchführung einer Transaktion über das persönliche Konto bei einer bestimmten Bank (als Variante: über neue Sicherheitsmaßnahmen der Bank). Um weitere Informationen zu erhalten, wird der Anwender aufgefordert, ein verlinktes Dokument zu öffnen.

Bei der Aktivierung dieses Links wird ein ZIP-Archiv auf den Rechner des Anwenders geladen, das eine ausführbare Datei enthält, die als PDF-Dokument getarnt ist. Bis zum 13. Januar entdeckte G Data über 1.100 neue Websites, die im Rahmen der laufenden Spam-Kampagne Feodo verbreiten.

Feodo/Cridex ist bereits mehr als zwei Jahre bekannt; er ist in der Lage, die Eingabe von Daten über die Tastatur aufzuzeichnen, MitB-Attacken durchzuführen, wenn das Opfer sich im Online-Banking-System anmeldet, und andere Schädlinge zu laden. Die Verbreitung von Feodo mittels Spam ist keine Seltenheit.

Die gestiegene Aktivität von Feodo hat die Aufmerksamkeit der Mitglieder des Schweizer Security-Projekts Abuse.ch geweckt, die daraufhin eine weitere statistische Abteilung auf ihrer Website eingerichtet haben. Der Feodo Tracker ist aufgebaut wie die laufenden Tracker für ZeuS, SpyEye und Palevo: Er vermittelt eine Vorstellung von dem aktuellen Ausmaß der Bedrohung und verbreitet Schwarze Links, die System- und Netzadministratoren helfen, den C&C-Traffic zu blockieren und infizierte Computer in lokalen Netzen zu identifizieren.

Laut Abuse.ch verbindet sich eine der Feodo-Versionen (А) via HTTP über ein Netz gehackter Server, die als Proxy genutzt werden, mit dem Steuerungszentrum. Eine zweite Version (В) installiert eine direkte Verbindung auf dem Port 80; die Mehrheit ihrer C&C-Domains gehören zu der TLD-Zone .ru und wurden über REG.RU registriert. Cyberkriminelle mieten zudem NS-Server dieses Registrars. Am 21. Januar enthielt die Datenbank Feodo Tracker 47 C&C-Server dieses Schädlings; 5 davon waren aktiv.

Quelle: abuse.ch

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.