News

Bugs in Zeus-Kampagne

Kommt Ihnen die folgende Malware-Kampagne bekannt vor?

Richtig, es ist Zeus (Zbot). Wenn Ihr System vollständig gepatcht ist, und Sie auf den Link in der Nachricht klicken, wird die Binärdatei nicht auf Ihren Computer geladen. Ein spezielles PHP-Skript auf sddghdskfgjr.cz.cc gibt sie nicht frei und Sie erhalten lediglich eine Fehlermeldung. Die Kriminellen verwenden Standard-Filterung für die anti-automatisierte Malware-Sammlung.

Die erwähnte .cc-Domain ist zweifach mit zwei verschiedenen Kurz-URL-Services verkürzt. Die erste ist http://3cm.kz/. Entgegen der offiziellen Aussage des (legitimen) Services ähnelt die merkwürdige Zeichenzusammenstellung sehr dem Jargon der russischsprachigen Cyberkriminellen “Short your beast”:

Ich habe einen interessanten “Bug” in dem schädlichen .php-Skript auf der .cc-Domain entdeckt. Geht man auf den Kurzlink mit irgendeinem zusätzlichen Sonderzeichen am Ende, erhält man – selbst wenn es sich um dasselbe System handelt und dieses komplett gepatcht ist – die Binärdatei wieder und wieder. Klickt man beispielsweise nicht auf http://3cm.kz/example, sondern fügt am Ende noch ein http://3cm.kz/example+ oder http://3cm.kz/example* oder irgendein anderes Sonderzeichen an, so erhält man für jedes einzelne Zeichen je einmal die Binärdatei. Ein Sonderzeichen pro einem neuen Download. Der zweite Kurz-URL-Service, den die Cyberkriminellen verwendeten, ist http://shortn.me

Guckt man sich die Statistik an, wie viele Anwender jeweils auf die Links geklickt haben, stellt man fest, dass es eine große Differenz zwischen der ersten und der zweiten Kurz-URL gibt:


(Klicks auf 3cm – nur 24 Klicks)

(Klicks auf Shortn – 200 Klicks)

Nicht besonders viele Klicks, doch wir sollten bedenken, dass es sich hierbei in erster Linie um eine zielgerichtete Attacke handelt und dass die Auswirkungen recht groß sind. In diesem Fall geht es weniger um Quantität als um Qualität.

Auf der anderen Seite zeigt der Unterschied in der Klickhäufigkeit, dass die Kriminellen den Shortnme-Link ganz allgemein für viele Ziele nutzen, während der Shortlink von 3Cm
eigens für jedes Ziel (jedes Unternehmen) einzeln erstellt wurde. Auf diese Weise können die Cyberkriminellen die Infizierung von jedem einzelnen Ziel besser verfolgen.

Im Augenblick des Downloads des schädlichen Samples wurde es von UDS (Wolken-Technologie) von Kaspersky entdeckt und wird nun als Trojan-Spy.Win32.Zbot.bvmv detektiert.

Bugs in Zeus-Kampagne

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach