Carberp: Das ist noch nicht das Ende

Am 20. März informierten russische Strafverfolgungsbehörden über die Festnahme einer Gruppe von Cyberkriminellen, die mit Hilfe des trojanischen Programms Carberp Geld erpresst hatten. Das ist eine wirklich gute Nachricht, doch sie bedeutet leider nicht das Ende der Geschichte um Carberp.

Allem Anschein nach wurde nur eine der kriminellen Gruppen festgenommen, die diesen Trojaner einsetzen. Dabei bleiben die Entwickler von Carberp auf freiem Fuß, die nun den offenen Verkauf des Trojaners in Cyberkriminellen-Foren weiter fortsetzen.

Hier das neuste Verkaufsangebot des „multifunktionalen Bank-Bots“ Carberp, das am 21. März veröffentlicht wurde:


Verkaufsanzeige für Carberp

Zudem laufen auch die „Partnerprogramme“ weiter, die vorher mit der Verbreitung von Carberp in Verbindung gebracht wurden, in erster Linie ist hier von „traffbiz.ru“ die Rede.

Die letzte Verbreitungswelle von Carberp registrierten wir am 21. März. Die Infektion wurde auf der Website radio-moswar.ru initiiert, die das Browser-Online-Game MosWar zum Inhalt hat.

Homepage der Website radio-moswar.ru

Auf einer der Seiten gibt es ein Skript, das den Besucher unbemerkt auf eine Webseite umleitet, die sich auf einer Domain der dritten Ebene befindet.


Skript, das den Redirect von der Website radio-moswar.ru durchführt

Die Domain der zweiten Ebene gehört dem Unternehmen DynDns, das kostenlose Services zur Erstellung von Domains der dritten Ebene nach Art von *.dyndns.TLD anbietet. Dienstleistungen dieser Art werden häufig von Cyberkriminellen in Anspruch genommen, da für sie damit das Problem entfällt, eine neue Domain anmelden zu müssen.

Website dyndns.tv

Eine Reihe von Redirects auf die Domains von DynDns führt schließlich auf ein Skript des Partnerprogramms traffbiz. Offiziell tritt dieses Partnerprogramm als Vermittler zwischen Webmastern und Ankäufern von Traffic auf, doch unseren Daten zufolge wird es in den meisten Fällen von Cyberkriminellen zur Verbreitung von Schadprogrammen benutzt.


Website traffbiz.ru

Das Skript stellt ein Bild mit einem Besucherzähler dar счётчиком показов, das der Anwender sieht. Überdies enthält das Skript zwei iframe, die unbemerkt einen Redirect über zwei Links durchführen.


Code des Zählers von traffbiz.ru

Über einen der Links wird mit Hilfe von Java- (CVE-2011-3544) und PDF- (CVE-2010-0188) Exploits der Download und Start des Schädlings Trojan-Spy.Win32.Carberp.epm auf den Computer des Anwenders durchgeführt.

Der Trojaner versucht, sich mit dem Steuerungsserver zu verbinden, indem er mit drei Domains kommuniziert:

****case-now.com
****ssunrise.com
****owfood-cord.com

Bemerkenswert, dass diese Domains den Daten von whois zufolge am 20. März registriert wurden:

Alle drei Domains sind auf einer deutschen IP-Adresse eingerichtet.

Der Steuerungsserver, mit dem sich Carberp verbindet, funktioniert und gibt den Befehl zum Download der Konfigurationsdateien, in denen angezeigt wird, welche Informationen der Bot wie stehlen soll. Im Verlauf der Attacke fängt Carberp auf dem System des Anwenders den Inhalt von Websites der Citibank und der Raiffeisen Bank ab, wie auch Seiten, die Software der Firma BSS benutzen. Dieses Unternehmen entwickelt und implementiert automatisierte Systeme für das Online-Banking.

Unter dem zweiten Link verbirgt sich das bekannte Exploit-Pack BlackHole. Es lädt und startet gleich zwei Schadprogramme auf dem Opfer-Computer: Eine der Versionen von Carberp (Trojan-Spy.Win32.Carberp.epl) und einen Trojaner, der Passwörter stiehlt (Trojan-PSW.Win32.Agent.acne).

Carberp verbindet sich ebenfalls mit einem Server in Deutschland, allerdings über eine andere IP-Adresse. Der Domain-Name ****ltd.info wurde am 21. März registriert:

Die Steuerungszentrale funktioniert, allerdings werden bisher keine Befehle ausgegeben, sondern der Trojaner empfängt von hier aus eine Liste mit Plug-Ins.

Der zweite Schädling, der von dem BlackHole Exploit Pack ausgegeben wird, ist zum Diebstahl von vertraulichen Anwenderinformationen bestimmt, wie z.B. FTP-Passwörter. Darüber hinaus modifiziert der Trojaner die Datei hosts, um den Anwender von den Websites vkontakte.ru und narod.ru auf schädliche Server umzuleiten.

Es befinden sich also sowohl die direkten Entwickler von Carberb als auch eine Gruppe, die Carberp aktiv ersetzt, weiterhin auf freiem Fuß. Das bedeutet, dass von einem endgültigen Sieg über den Schädling noch lange nicht die Rede sein kann.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.