Eine Lawine in Skype

Derzeit läuft eine aktive Kampagne gegen Skype.

Die Infektion erfolgt mittels Social Engineering über infizierte Skype-Accounts, wobei massenhaft Mitteilungen folgender Art an die Kontakte gesendet werden:

i don’t think i will ever sleep again after seeing this photo
(Ich glaube nicht, dass ich jemals wieder schlafen kann, nachdem ich dieses Foto gesehen habe)
(http://www.goo.gl/XXXXX?image=IMG0540250-JPG
tell me what you think of this picture i edited
(Sag mal, was Du von dem Foto hältst, das ich bearbeitet habe)
http://www.goo.gl/XXXXX?image=IMG0540250-JPG

Der Kurz-URL-Dienst Goo.gl zeigt an, dass bis 4. April mehr als 170.000 Mal auf die schädlichen URL geklickt wurde – eine Stunde zuvor waren es um die 160.000 Klicks. Das bedeutet, dass diese Kampagne mit 10.000 Klicks pro Stunde oder 2,7 Klicks pro Sekunde überaus aktiv ist!

Die meisten Opfer kommen aus Russland oder aus der Ukraine:

207319965

Unter anderen sind die folgenden Länder vermutlich ebenfalls stark betroffen: China, Italien, Bulgarien und Taiwan.

Die Kampagne scheint seit dem ersten März zu laufen, zumindest wurde an diesem Tag die kurze Google-URL erstellt; Fahrt aufgenommen hat sie allerdings erst am 4. April. Die folgende Grafik zeigt die Zahl der Klicks in den letzten zwei Stunden:

207319966

Bisher gibt VirusTotal ein Detektionsverhältnis von 12 aus 46 an. Kaspersky detektiert das schädliche Sample mit Hilfe seiner Cloud-Technologie als UDS:DangerousObject.Multi.Generic

Noch einige Anmerkungen zu der Malware selbst. Sie ist in Visual Basic geschrieben. Die Subroutinen sind mit Personennamen bezeichnet, wie z.B. Lenka, Pier, Christiane, Ryann, etc. Die folgenden Aussagen wurden als Teil des Social Engineering in Skype verwendet:

hahaha
Is this you? – Bist du das?
Picture of you? – Ein Bild von Dir?
Tell me what you think of this picture – Sag mal, was Du von dem Bild hälst
This is the funniest picture ever! – Das ist das witzigste Foto aller Zeiten
I cant believe I still have this picture – Ich kann’s nicht fassen, dass ich dieses Bild noch habe
Someone showed me your picture – Jemand hat mir Dein Bild gezeigt
Your photo isn’t really that great – Dein Bild ist nicht wirklich so toll
I love your picture! – Ich liebe Dein Foto
What do you think of my new hair? – Was hälst Du von meiner neuen Frisur?
You look so beautiful on this picture – Du siehst auf diesem Bild wunderschön aus
You should take a look at this picture – Du solltest Dir mal dieses Foto ansehen
Take a look at my new picture please – Guck Dir bitte mal mein neues Foto an
What you think of this picture? – Was hälst Du von diesem Bild?
Should I upload this picture on facebook? – Soll ich dieses Bild auf Facebook posten?
Someone told me it’s your picture – Jemand hat mir erzählt, dass ist Dein Foto

Die Malware ist auch in der Lage, sich via USB auszubreiten. Das Schadprogramm verwendet das IRC-Protokoll, um mit dem C&C zu kommunizieren, wenn ein Teil des Botnetzes einmal infiziert ist. Der String in dem Sample, der zu der VB Projekt-Datei führt, lautet C:UserssDesktopMust Use Different NameHqwKHavivah.vbp
Und zum Schluss noch etwas Interessantes:

207319967

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.