Das Ende von DNSChanger?

Nicht wirklich, vor allem nicht in Lateinamerika. Tagtäglich registrieren wir eine Menge ähnlicher Attacken, wobei immer lokale DNS-Einstellungen missbraucht werden. Tatsächlich sind diese Attacken ein bisschen anders, da sie die lokale HOST-Datei modifizieren, doch das Prinzip ist dasselbe – über schädliche DNS-Einträge wird das Opfer auf einen schädlichen Host umgeleitet.

Lateinamerikanische Cyberkriminelle sind dafür bekannt, alte Techniken, die irgendwo anders in der Vergangenheit verwendet wurden, zu recyceln, und derzeit nehmen solche Angriffe zu, bei denen lokale DNS-Einstellungen ausgenutzt werden. Die neuste auf Social Engineering basierende Malware-Attacke in Mexiko, bei der die mexikanische Steuerbehörde imitiert wird, ist das jüngste Beispiel dafür.

207319868

Mit einem Klick auf den Link lädt und installiert das Opfer einen Trojaner auf seinem Computer, der mit Ngrbot in Verbindung steht, und der die lokale HOST-Datei modifiziert. Er stiehlt Geld von zwei mexikanischen Banken, indem er die infizierten Opfer auf gefakte Banking-Websites umleitet.

Hier eine interessante Information, die im Code enthalten ist – die Quelle des Trojaners vor der Compilierung:

207319869

(C:UsersAlxDesktoppharming_root3dProject1.vbp)

Beim Surfen in einigen spanischsprachigen Untergrund-Foren fand ich heraus, dass der Autor dieser Schadsoftware seit mindestens 2004 aktiv ist und offenbar in Peru lebt.

Die meisten Opfer stammen natürlich aus Mexiko. Die Malware wird hauptsächlich via E-Mail verbreitet und der am häufigsten angegriffene E-Mail-Provider ist Yahoo.

207319870

Das Schadprogramm wurde mindestens 11.540 Mal heruntergeladen und es wird insgesamt von 9 aus 31 Antiviren-Engines detektiert. Das bedeutet im Grunde, dass wir es mit etwa 8.000 Infektionen da draußen zu tun haben.

Die Tatsache, dass ein einigermaßen erfahrener Cyberkrimineller (aktiv seit 2004) noch immer schädliche Techniken nutzt, um lokale DNS-Einstellungen auszunutzen und damit eine große Zahl von Opfern (8.000) erreicht, zeigt einmal mehr, dass uns der DNSChanger-Trend auch in näherer Zukunft erhalten bleiben wird. Wir werden es mit immer neuer Malware zu tun bekommen, die die gleiche Technik nutzt und weiterentwickelt. Fortsetzung folgt …

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.