Aktuelle Trends im Ökosystem von Fake-Antivirus- /Scareware verstehen

In den letzten Jahren wurden den Cyberkriminellen-Gangs, die für Infektionen durch gefälschte Antiviren-Software (Scareware/Rogueware) verantwortlich sind, zahlreiche Steine in den Weg gelegt, aber hinter dieser Meldung verbirgt sich noch weitaus mehr.

Einige dieser Gangs wurden festgenommen. Anderen wurde ihr Handwerk gelegt und ihre kompletten Support-Callcenter geschlossen.
Manche Gruppen zogen zuviel Aufmerksamkeit auf sich, ernteten die am leichtesten greifbaren Früchte und zogen sich schließlich aus ihren Botnets zurück.
Manchmal waren die Fachkenntnisse der Cyberkriminellen für die Entwicklung von Anti-Anti-Malware-Methodiken, Blackhat SEO-Techniken und die Verbreitung von Schadcode einfach nicht ausreichend. Sie konnten mit den Veränderungen bei Anti-Malware-Technologien nicht mithalten, zeigten sich nicht engagiert genug und waren eines Tages plötzlich von der Bildfläche verschwunden.

Einige der verbleibenden Vertriebsgangs von Scareware allerdings verdoppelten ihren Einsatz und arbeiten aggressiv an der Entwicklung schwer erkennbaren polymorphen Softwareinstaller sowie schwer entfernbaren Supportkomponenten. Zudem beinhaltet die neueste Generation dieser Schadprogramme einige der ersten ernst zu nehmenden ITW x64-Bit Malware-Komponenten. Das Scareware-Programm selbst bleibt hingegen in seinen meisten Teilen unverändert. Die Entwicklung ist stetigen Veränderungen und Fortschritten unterworfen, immer mit dem Ziel, Antiviren-Lösungen zu umgehen und den Enduser zu nötigen, Geld für ein gefälschtes Produkt hinzublättern, darunter auch Support-/Rootkit-Komponenten wie TDSS (und sein extrem komplexer Aufbau) oder die neueren Black Internet (auch bekannt unter dem Namen „Trojan-Clicker.Win32.Cycler“) Support-/Rootkit-Komponenten. Diese komplexen MBR-Infektoren und andere Rootkit-Funktionen lassen auf enorme Bemühungen, die Entwicklungen in diesem Bereich voranzutreiben, schließen.

Gleichzeitig haben Standard-Exploit-Kits, die die verschiedenen Gruppen der Cyberkriminellen für die Verbreitung ihrer gefälschten Software nutzen, keineswegs einen höheren Grad an Komplexität erreicht. Stattdessen sind einige der komplexeren, über Online-Marktplätze erhältlichen, Kits wieder verschwunden, während einfacher aufgebaute Kits wie Eleonore und Phoenix sich durchsetzen konnten. Der Großteil ihrer Technologien für Nutzung, Shellcode, Verschlüsselung und Umgehung von Antiviren-Programmen sind eher einfallslos und statisch. Und zu einem guten Teil beruht die Verbreitung von Malware auf einem äußerst simplen Einsatz von Technologie – der Sozialmanipulation („Social Engineering“) – und nicht auf der Entwicklung neuer Technologien, d.h. im Wesentlichen die missbräuchliche Nutzung eines Umfeldes, dass dazu beiträgt, den Anwender in die Irre zu führen und ihn dazu zu bringen, ein ausführbares Programm auf seinem Computer laufen zu lassen, dem er besser nicht trauen sollte.

Was schließen wir daraus? Größtenteils genügen weiterhin einfachere, weniger kostspielige Methoden, um Schadprogramme erfolgreich auf Endusersysteme zu bringen. Daraus können wir mehrere Schlüsse ziehen:

  1. Enduser verabsäumen es, die notwendigen Sicherheitspatches auf ihren Computern zu installieren.
  2. Sicherheitslücken werden nicht mit ausreichender Schnelligkeit bekannt und gepatcht, oder die automatischen Updatefunktionen greifen nicht schnell genug.
  3. Immer noch lassen zu viele Enduser ihre Systeme ohne ausreichenden Sicherheitsschutz laufen.

Warum? Dazu lässt sich eine ganze Reihe an Argumenten anführen. Ein Motiv ist die rationale Ablehnung sämtlicher Sicherheitsempfehlungen – die Nutzer spekulieren, dass der Aufwand, sich selbst auf dem Laufenden und ihre Sicherheitssysteme auf dem neuesten Stand zu halten, nicht dem Risiko einer Infektion/vollständigen Kompromittierung entspricht (obwohl, wenn man einmal mit den Besitzern infizierter Computer gearbeitet hat, sind die „rationalen“ Gründe für ihre ablehnende Haltung plötzlich gar nicht mehr so rational). Auch die von IT-Abteilungen oder sonstigen Gruppen festgelegten Netzwerk-Richtlinien können eine Ursache sein. Fehlendes Verständnis für die Sicherheitsanforderungen insgesamt und in Bezug darauf, wie Softwareprogramme organisiert sein und aktualisiert werden müssen, wiederum eine andere. Und schlussendlich, dass bestimmte IT-Sicherheitsprogramme nicht besonders effektiv darin sind, Schadprogramme von Computern fernzuhalten. Höchstwahrscheinlich ist es eine Mixtur aus allen Motiven.

Cyberkriminelle bauen bei Bedarf komplexe Strukturen in ihre Softwareprogramme ein und erhöhen damit die Komplexität in ihren „Support-Dienstprogramme“ wie die Rootkit-Komponenten, während die Vereinfachung der Technologien zur Software-Verbreitung) verdeutlicht, dass die besten Lösungen zur Abwehr von Drive-by-Downloads und Verbreitung von Schadcode weiterhin nicht voll ausgenutzt werden.

Die am leichtesten greifbaren Früchte werden zuerst geerntet.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.