Gefährliches Pflaster Internet

Wie wird ein Computer beim Surfen infiziert? Auf welche Weise verdienen Cyberkriminelle an den Usern? Auf diese Fragen versucht die folgende Analyse eine Antwort zu geben.

Ziel

In den letzten Jahren wird die Wahrscheinlichkeit immer größer, dass ein Computer-Schädling den Rechner beim Surfen im Netz infiziert. Das hängt zum einen mit der wachsenden Zahl von Nutzern und Web-Ressourcen zusammen, zum anderen aber auch mit der zunehmenden Gier der Online-Kriminellen. Heutzutage stehen die Attacken via Internet sowohl quantitativ als auch hinsichtlich des Gefahrenpotentials an erster Stelle. Um sich davon zu überzeugen, muss man nur einen kurzen Blick auf unsere monatlichen Analysen der Schadprogramme werfen: Eine enorme Menge von Web-Attacken ist in den Hitlisten registriert und die Angriffe werden immer raffinierter. Die komplexesten Bedrohungen der letzten Zeit, wie ZeuS, Sinowal oder TDSS, breiten sich über das World Wide Web aus. Das Gleiche passiert mit gefälschten Antiviren- und Blocker-Programmen. Die zielgerichtete Attacke „Operation Aurora“ wurde ebenfalls über das Netz durchgeführt und rief ein großes Medienecho hervor. Und das ist nur die Spitze des cyberkriminellen Eisbergs.

Das wichtigste Ziel jeder Attacke im Internet ist der Download und die Installation von schädlichem Code auf den angegriffenen Rechner. Selbstverständlich gibt es auch Angriffe wie XSS oder CSRF, die nicht den Download und die Installation von schädlichen ausführbaren Dateien auf den attackierten Computern zum Ziel haben. Doch die Kontrolle über ein infiziertes System eröffnet den Cyberkriminellen vielfältige Möglichkeiten: Durch eine erfolgreich durchgeführte Attacke erhalten sie vollen Zugriff auf die Anwenderdaten und Systemressourcen. Das wiederum eröffnet den Betrügern viele Gelegenheiten, am Anwender zu verdienen.

Angriffe

Im Normalfall besteht ein Angriff aus zwei Etappen. Am Anfang steht der Besuch einer schädlichen Ressource durch den Anwender und darauf folgt der Download einer schädlichen ausführbaren Datei auf seinen Rechner.

Die Kriminellen nutzen alle nur erdenklichen Kanäle, um die Nutzer auf schädliche Ressourcen zu locken: E-Mail, Instant-Messaging-Systeme, soziale Netzwerke, Suchsysteme, Werbung – kurz gesagt, mit schädlichen Links ist überall zu rechnen. Manchmal müssen die Cyberkriminellen noch nicht einmal besondere Anstrengungen unternehmen, um Anwender auf die verseuchten Sites zu locken. Es reicht schon aus, wenn sie legitime Websites hacken, die hohe Besucherzahlen haben. Und in der letzten Zeit setzten die Betrüger immer häufiger genau diese Methode ein.

Sobald der User erst einmal auf einer schädlichen Ressource gelandet ist, muss das Schadprogramm nur noch auf seinen Computer geladen und dort installiert werden. Hier hat der Kriminelle nun zwei Möglichkeiten: Entweder veranlasst er den User dazu, dies selbst zu tun oder er führt verdeckt eine Drive-by-Download-Attacke durch. Im ersten Fall kommen Social-Engineering-Methoden zum Einsatz, das heißt die Cyberkriminellen bauen auf die Gutgläubigkeit und Unerfahrenheit des Anwenders. Im zweiten Fall werden Sicherheitslücken in der Software ausgenutzt, die auf dem Computer des potentiellen Opfers installiert ist.

Ein Angriff im Internet, dessen Ziel der Download und die Installation von schädlichen Dateien ist, lässt sich schematisch folgendermaßen darstellen:


Schema eines Angriffs im Internet mit Download einer ausführbaren Schaddatei

Schauen wir uns nun einmal genauer an, wie der User beim alltäglichen Surfen im Internet auf einer schädlichen Website landen und seinen Computer infizieren kann.

Spam

Am häufigsten versuchen Cyberkriminelle User via Spam auf schädliche Sites zu locken. Spam nutzt die volle Bandbreite an Angriffsmöglichkeiten aus, die das Internet heutzutage bietet.

Noch vor wenigen Jahren wurde der Begriff „Spam“ ausschließlich mit dem Versand von Werbemitteilungen via E-Mail assoziiert. Heute werden für die Verbreitung von Spam viele weitere Kanäle genutzt: Instant-Messaging-Systeme, soziale Netzwerke und sogar SMS.

Sehr häufig enthalten Spam-Botschaften eine schädliche ausführbare Datei oder einen Link auf eine schädliche Ressource. Cyberkriminelle nutzen aktiv Social-Engineering-Methoden, um die User dazu zu bringen, auf eben so einen Link zu klicken oder eine schädliche Datei zu laden und zu installieren. So führen die Links auf angeblich aktuelle, reißerische Nachrichtenseiten und die Adressen tarnen sich als populäre Internet-Ressourcen oder Webseiten bekannter Unternehmen. Insgesamt zielen sie auf menschliche Schwächen wie Angst, Neugier und Leidenschaft ab. An dieser Stelle möchte ich nicht genauer auf diesen Punkt eingehen, da zahlreiche Beispiele für die Verbreitung von Schadprogrammen via Spam auf unserer Website dokumentiert sind.

Auffällige Links und Banner

Auch mit Hilfe von Werbebannern und viel versprechenden Links wird häufig versucht, den Anwender auf schädliche Ressourcen zu locken. In der Regel sind solche Methoden typisch für Websites mit illegalem Hintergrund, die zum Beispiel nicht lizenzierte Software oder Inhalte für Erwachsene verbreiten.

Betrachten wir ein Beispiel einer solchen Attacke einmal genauer. Gibt man bei Google die im Mai 2010 recht häufige Suchanfrage „crack für assassin’s creed 2 downloaden“ ein, so erscheint unter anderem die Adresse einer gewissen Website, auf der ein bewegtes Banner erscheint, das die Ressource „Forex-Bazar“ bewirbt.


Bewegtes Banner auf einer Website, die unlizenzierte Software anbietet

Bei dem Versuch, das Banner zu schließen, öffnet sich in einem neuen Browserfenster eine Website, die Videos „für Erwachsene“ anbietet. Klickt man nun auf den Preview-Button irgendeines Clips, so erscheint eine Mitteilung, dass für die Darstellung des Videos unbedingt ein Update für den Adobe Flash Player installiert werden müsse.


Mitteilung, die beim Versuch, ein Porno-Video abzuspielen, auf der Website erscheint

Klickt der Anwender nun auf den Button „Update downloaden“ und danach auf „Update installieren“, so wird im Folgenden auf seinem Rechner kein Update irgendeiner Art, sondern eine der neuesten Versionen von Trojan-Ransom.Win32.XBlocker installiert. Dieses Programm öffnet über allen anderen Fenstern ein neues Fenster mit der Aufforderung, eine kostenpflichtige SMS abzusenden. Kommt der Anwender dem nicht nach, erhält er auch nicht den passenden Code, um „das Modul umgehend zu deinstallieren“ und das Fenster geht ihm weiterhin auf die Nerven.


Fenster, das nach der Installation von Trojan-Ransom.Win32.XBlocker erscheint

Schwarze Suchoptimierung

Bei der Suchmaschinenoptimierung (SEO, Search Engine Optimization) kommen verschiedene Maßnahmen zum Einsatz, die dazu dienen, dass Websites bei bestimmten User-Anfragen im Suchmaschinenranking möglichst weit oben erscheinen. Heutzutage gehören die Suchsysteme zu den wichtigsten Informationslieferanten. Daher werden auch die Dienste auf Websites, die am einfachsten zu finden sind, am häufigsten von den Anwendern in Anspruch genommen.

Die Methoden zur Suchoptimierung sind vielfältig: Es existieren sowohl erlaubte und legale Mittel, Websites im Ranking zu pushen, als auch von den Suchsystemen verbotene Maßnahmen. Für uns sind die verbotenen Methoden an dieser Stelle natürlich von besonderem Interesse. Dazu gehört die schwarze Suchoptimierung, die Cyberkriminelle aktiv einsetzen, um ihre schädlichen Ressourcen im Suchmaschinenranking nach oben zu bringen.

Im Folgenden wird allgemein beschrieben, was die Kriminellen unternehmen, damit die Anwender auf „hochgepushten“ Seiten landen.

Unter Verwendung von Schlüsselwörtern, die manuell eingegeben oder automatisch empfangen werden (zum Beispiel mit Hilfe von Google Trends, erstellen die Online-Betrüger Websites mit relevantem Inhalt. Normalerweise funktioniert das vollautomatisch: Bots richten eine Anfrage an das Suchsystem und stehlen Content wie beispielsweise Textfragmente von den Seiten, die bei den Suchergebnissen ganz oben gelistet sind.

Damit auch die neu erstellte Website im Ergebnis-Ranking oben erscheint, muss der Such-Roboter in erster Linie dazu gebracht werden, eine Indexierung durchzuführen. Am einfachsten ist es, den Indexierungsprozess manuell zu initiieren, zum Beispiel mit Hilfe der Website Add your URL to Google, auf der man seine eigene Website dem Index des Suchsystems hinzufügen kann. Um das Vorankommen im Suchmaschinenranking zu beschleunigen, kann ein Link auf die entsprechende Website auf Ressourcen verbreitet werden, die den Suchsystemen bereits bekannt sind, zum Beispiel in verschiedenen Foren, Blogs oder sozialen Netzwerken. In solchen Ressourcen platzierte Links verweisen auf die Zielseite und geben ihr bei der Indexierung größeres Gewicht. Die schwarze Suchoptimierung kann auch mit Hilfe von Zombie-Netzen umgesetzt werden: Auf den infizierten Computern wird eine Suche nach den gegebenen Schlüsselwörtern durchgeführt und aus der Ergebnisliste wird dann die benötigte Website ausgewählt.

Auf der von den Kriminellen erstellten Website wird ein Skript platziert, das den Besucher anhand von HTTP-Headern identifiziert. Handelt es sich dabei um einen Bot, so wird ihm eine Seite mit einem Inhalt „gezeigt“, der bestimmte Schlüsselwörter enthält. Als Folge erscheint diese Seite in der Suchmaschinen-Ergebnisliste auf einer hohen Position. Handelt es beim Besucher dagegen um einen Anwender, der die Seite mit Hilfe einer Suchmaschine gefunden hat, so wird er auf die schädliche Website umgeleitet.


Schema der Zusammensetzung und Darstellung von Daten bei der schwarzen Suchmaschinenoptimierung

Suchsysteme löschen Webseiten, die mit unerlaubten Methoden auf hohe Positionen befördert wurden, schnell aus ihren Ergebnislisten. Daher verwenden die Kriminellen bei der Erstellung und der Suchoptimierung von Websites in der Regel automatisierte Techniken, die den Prozess beschleunigen und die Anzahl neuer schädlicher Webressourcen vervielfältigen.

Automatisch erstellte Websites werden überall platziert: auf den Ressourcen von Kriminellen, auf infizierten legitimen Seiten, auf kostenlosen Webhosts und Blogger-Plattformen.

Beispiel für das Pushen von Websites

Betrachten wir nun als Beispiel die im Mai 2010 überaus beliebte Suchanfrage „memorial day history“. Diese wurde von Anwendern im Zusammenhang mit dem US-Feiertag Memorial Day, der auf den letzten Montag im Mai fällt, besonders häufig eingegeben. In der Ergebnisliste von Google erscheint auf der ersten Seite ein Link, der vom Suchsystem als verdächtig markiert wurde.


Suchergebnisse von Google für die Anfrage „memorial day history“

Die Statistik von Safe Browsing zu dieser Website besagt, dass hierüber mehrfach der Versuch unternommen wurde, Anwender anzugreifen.


Statistik von Google Safe Browsing zur analysierten Website

Wenn man die Website besucht, indem man die URL in die Adresszeile des Browsers eingibt statt auf einen Link aus der Google-Ergebnisliste zu klicken, so erscheint ein Textdokument, das eine große Zahl von Textfragmenten zu dem Thema „memorial day history“ enthält. Eben genau das, wonach die Such-Roboter verlangen!


Inhalt der Website beim Besuch der Seite direkt über das Adressfeld des Browsers

Klickt der Anwender nun aber auf der Ergebnisseite von Google auf den entsprechenden Link und gelangt so auf diese Website, erhält er ein völlig anderes Resultat. Der Server leitet ihn auf eine andere Webressource um.


Inhalt der Website beim Besuch über den Link aus der Google-Ergebnisliste

Nach einigen weiteren und ähnlichen Umleitungen landet der Anwender auf einer Seite, auf der er nachdrücklich dazu aufgefordert wird, ein (selbstverständlich gefälschtes) Antiviren-Programm herunterzuladen.


Mitteilung über eine angebliche Infizierung des Systems und die Aufforderung, ein Antiviren-Programm“ herunterzuladen

Interessanterweise sind die Cyberkriminellen-Seite sowie die ausführbare Datei auf einer kostenlosen Hosting-Plattform abgelegt. Jeder kann sich bei einem solchen Anbieter problemlos registrieren und um einen Angriff durchzuführen, reicht es völlig aus, eine Umleitung auf diese Plattform zu organisieren.

Die oben beschriebenen Infizierungsmethoden funktionieren nur, wenn der Anwender dem Download des Programms zustimmt. Ein solches Verhalten lässt sich meistens mit Unerfahrenheit und Unaufmerksamkeit erklären und nicht zuletzt spielen auch rein menschliche Schwächen hierbei eine Rolle. So jagt zum Beispiel das Fenster mit der Mitteilung über eine Infizierung des Computers einem unerfahrenen User einen gehörigen Schrecken ein und er ist versucht, so schnell wie möglich auf die Schaltfläche „Alle Bedrohungen entfernen“ zu klicken. Andererseits machen ihn die Aufforderung, ein „Update für Adobe Flash Player“ oder einen „fehlenden Codec“ herunterzuladen, nicht misstrauisch – zumindest wenn der betreffende User noch nie ein echtes Update dieser Art heruntergeladen hat, denn die Mitteilungen machen einen seriösen Eindruck und sind sehr gut gefälscht.

Infizierte legitime Websites

Auch eine andere Methode zur Verbreitung von Schadprogrammen erfreut sich immer größerer Beliebtheit, nämlich verborgene Drive-by-Downloads. Bei einer Drive-by-Attacke wird der Computer infiziert, ohne dass der Anwender in Aktion treten muss oder etwas davon bemerkt. Die allermeisten Drive-by-Attacken werden mit Hilfe von infizierten legitimen Ressourcen durchgeführt.

Die Infizierung legitimer Ressourcen ist wohl eines der zurzeit größten Sicherheitsprobleme im Internet. Auf Nachrichtenportalen im Web finden sich immer wieder Überschriften wie „Mass hack plants malware on thousands of webpages “, „ WordPress Security Issues Lead To Mass Hacking. Is Your BlogšNext?” und „Lenovo Support Website Infects Visitors with Trojan“.Tag für Tag registriert Kaspersky Lab tausende infizierte Ressourcen, von denen ohne Wissen des Anwenders schädlicher Code ausgeführt wird. Attacken dieser Art heißen Drive-by-Attacken und wir haben sie bereits eingehend in einer eigenen Analyse behandelt.

Bei Drive-by-Angriffen entfällt in der Regel das Problem, den Anwender auf eine schädliche Website zu locken. Er landet beim Surfen im Netz vielmehr ganz von selbst auf der entsprechenden Ressource. So kann zum Beispiel eine Website, die der User jeden Tag besucht, um Nachrichten zu lesen oder etwas zu bestellen, infiziert sein.

Die Infizierung einer Site erfolgt normalerweise auf zwei verschiedene Arten: Zum einen über eine Schwachstelle in der Ressource, beispielsweise durch einschleusen von SQL-Code. Zum anderen geschieht das mit Hilfe gestohlener Zugangsdaten für die entsprechende Website. Die einfachste Infizierungsmethode besteht darin, der Seite einen verborgenen iframe hinzuzufügen. Der iframe enthält einen Link auf eine schädliche Ressource, auf die der Anwender beim Besuch der infizierten Website automatisch umgeleitet wird.

Auf der schädlichen Ressource befindet sich ein Exploit oder gar eine Sammlung von Exploits, welche den Download und Start einer ausführbaren schädlichen Datei initiieren, wenn auf dem Rechner des Anwenders verwundbare Software läuft.

Die folgende Grafik zeigt das allgemeine Angriffsschema (Quelle: Google).


Allgemeines Schema einer Drive-by-Attacke

Exploit-Sammlungen

Der folgende Abschnitt beschäftigt sich eingehender mit der derzeit am weitesten verbreiteten Art von Drive-by-Attacken, die Cyberkriminelle mit Hilfe von Exploit-Packs durchführen. Dabei handelt es sich um eine Sammlung von Programmen, die Sicherheitslücken in legitimer Software auf den Computern der Anwender ausnutzen. Einfacher gesagt öffnen Exploits ein Schlupfloch, durch das Schadprogramme auf den Computer gelangen. Da die Angriffe selbst über den Browser laufen, müssen die Kriminellen entweder Schwachstellen im Browser, in Ergänzungsmodulen zum Browser oder in Dritt-Software ausnutzen, die vom Browser zur Content-Bearbeitung geladen wird. Der Sinn und Zweck von Exploits besteht im Download und Start von schädlichen ausführbaren Dateien auf den Rechnern der Anwender, ohne dass diese es bemerken.

Die folgende Grafik listet eine Auswahl typischer Zusatzmodule für den Browser Firefox auf. Die gelb markierten Module wurden bereits bei Angriffen auf die Anwender ausgenutzt. Zudem wurden auch in Firefox Sicherheitslücken erkannt und bereits von Cyberkriminellen ausgebeutet.


Typische Auswahl von Modulen für den Browser Firefox

Exploit-Sammlungen sind heute die Krone der Evolution von Drive-by-Downloads. Sie werden sehr schnell modifiziert und aktualisiert, um die Exploits an die neusten Schwachstellen anzupassen und um den Schutzlösungen effektiv Widerstand zu leisten.

Auf dem Markt der cyberkriminellen Dienstleistungen füllen die Exploit-Sammlungen ihre Nische perfekt aus. Aktuell wird auf dem Internet-Schwarzmarkt eine Vielzahl solcher Pakete angeboten, die sich in Preis, Anzahl der enthaltenen Exploits, in der Benutzerfreundlichkeit des Interface und auch in der Qualität des technischen Supports unterscheiden. Neben den Exploit-Packs „von der Stange“ werden eigens entwickelte Sammlungen auf Bestellung zum Verkauf angeboten, die von einzelnen Cyberkriminellen-Gruppen verwendet werden.

Unter den auf Bestellung entwickelten Exploit-Sammlungen sind diejenigen am weitesten verbreitet, die bei Angriffen der populären Skript-Downloader Gumblar und Pegel verwendet werden.

Eine Besonderheit der aktuellen Gumblar-Version ist die automatisierte Infizierung von Websites und Computern, wobei alle Angriffs-Elemente, sowohl die Exploits als auch die ausführbare Datei, auf gehackten legitimen Seiten untergebracht werden. Beim Besuch einer infizierten Website wird der User auf eine andere infizierte Seite umgeleitet, von der aus dann auch sein Rechner infiziert wird. n der Gumblar-Attacke werden bereits bekannte Sicherheitslücken im Internet Explorer, Adobe Acrobat, Adobe Reader, Adobe Flash Player und Java ausgenutzt. Pegel wird ebenfalls auf infizierten legitimen Seiten untergebracht, doch die Infizierung der Computer erfolgt schon über die Server, die von den Cyberkriminellen kontrolliert werden. Auf diese Weise ist es viel einfacher für sie, sowohl die ausführbare Zieldatei als auch die von ihnen verwendete Exploit-Sammlung zu verändern und anzupassen. So haben die Betrüger beispielsweise ihrer Sammlung sofort ein Exploit für die Sicherheitslücke CVE-2010-0886 im Java Deployment Toolkit hinzugefügt, nachdem sein Quellcode veröffentlicht wurde.

Erwähnenswert ist in diesem Zusammenhang auch der vom technischen Standpunkt überaus interessante Downloader Twetti, der verschiedene Anfragen an die Schnittstelle des sozialen Netzes Twitter richtet. Aus den so empfangenen Daten wird ein pseudozufälliger Domain-Name erstellt, auf welchen der Anwender beim Surfen umgeleitet wird. Die Cyberkriminellen erhalten die Domain-Namen nach dem gleichen Algorithmus bereits vorher, registrieren diesen und platzieren auf der Site schädliche Objekte zum Download.

Beispiel für Exploit-Sammlung: Crimepack Exploit System

Als Beispiel nehmen wir Crimepack Exploit System unter die Lupe, eine der derzeit populärsten Exploit-Sammlungen, die im freien Verkauf erhältlich ist.

Das Crimepack bietet ein eigenes Steuerungsinterface mit einer hochwertigen Benutzeroberfläche.


Anmeldebildschirm im Steuerungsinterface von Crimepack

Mit Hilfe der Benutzeroberfläche des Steuerungsinterface kann der Benutzer die Konfiguration der Exploit-Sammlung ändern und erhält einen Überblick über die Download-Statistiken, die aktiven Exploits, die Betriebssysteme und die Browser der infizierten Computer.


Statistiken des Steuerungsinterface von Crimepack

Bei der Exploit-Sammlung handelt es sich um eine verschlüsselte und versteckte HTML-Seite mit integriertem JavaScript.


Quellcode der Exploit-Sammlung Crimepack Exploit System

Nach einer Analyse der verschlüsselten Seite lässt sich die Hauptfunktionalität von Crimepack schematisch darstellen. Das auf der Seite versteckte Skript versucht innerhalb bestimmter Zeiträume verschiedene Sicherheitslücken im Internet Explorer, in DirectX, Java und im Adobe Reader auszunutzen. Dazu verwendet es verschiedene Komponentenwie schädliche PDF- und JAR-Dateien, die es über sein Ausgangsskript lädt.


Hauptfunktionalität der Exploit-Sammlung Crimepack Exploit System

Anfang Juli 2010 erschien bereits die dritte Version der Sammlung Crimepack Exploit System, die insgesamt 14 Exploits zu Produkten von Microsoft, Adobe, Mozilla und Opera enthält.

Geld

Wer verdient auf welche Weise an den beschriebenen Attacken?

Angriffe unter Verwendung von Werbe-Bannern zahlen sich für die Inhaber der Web-Ressourcen aus, auf denen die Banner untergebracht werden, denn sie erhalten Geld für ihre Platzierung. Am erfolgreichen Download und der Installation von XBlocker verdienen die Autoren des Schadprogramms, wenn der Anwender eine SMS an eine kostenpflichtige Nummer versendet. Und unerfahrene User tun das in der Regel immer.

Die schwarze Suchmaschinenoptimierung und Attacken über derart gepushte Websites ist für diejenigen finanziell einträglich, die dieses Verbreitungsschema umsetzen, die die Software für die automatisierte Erstellung gefälschter Websites entwickeln und die, die alle Teile dieses Schemas zusammenfügen. Am erfolgreichen Download und der Installation gefälschter Antiviren-Programme verdient, wer die Attacke organisiert. Denn unerfahrene Anwender sind üblicherweise mit der Installation einverstanden und bezahlen die geforderte Summe für das „Antiviren-Programm“. Auch die Entwickler der gefälschten Schutzlösungen bekommen ihren Teil des Kuchens.

An Drive-by-Attacken verdienen sowohl die Entwickler der Exploit-Sammlungen als auch die Kriminellen, die diese Sammlungen einsetzen. So funktioniert das Schema „Exploit-Sammlung + ZeuS Toolkit“ zum Beispiel hervorragend, wenn es um den Diebstahl vertraulicher Anwenderdaten geht, die anschließend auf dem Schwarzmarkt verkauft werden. Und als Ergebnis von Pegel-Attacken konnten Cyberkriminelle ein Botnetz aus Computern aufbauen, die mit dem Schädling Backdoor.Win32.Bredolab infiziert sind und mit dessen Hilfe weitere Schadprogramme auf die infizierten Computer geladen werden können.

Bedeutet das also, dass man selbst mit dem Download von Malware Geld machen kann? Natürlich kann man. Und zwar mit Hilfe so genannter Partnerprogramme oder PPI-Schemata (Pay-Per-Install).

Partnerprogramme

Die Idee der Partnerprogramme existiert schon recht lange und ursprünglich wurden sie im Wesentlichen zur Verbreitung von Adware eingesetzt, die als Zugabe zu kostenlosen Anwendungen mitgeliefert wurden. Der Anwender erhielt zusammen mit der Software seiner Wahl ein Programm, das Werbung anzeigte. Heute wird dieses Schema aktiv zur Verbreitung von Malware eingesetzt.

Am schwarzen PPI-Modell (Pay-per-Install) sind die folgenden Parteien (Partner) beteiligt:

  • Die Auftraggeber: Cyberkriminelle, die über gewisse finanzielle Mittel und über Schadprogramme verfügen, die sie in Umlauf bringen wollen.
  • Die Ausführenden: Personen, die die Verbreitung der Malware übernehmen und dafür Geld erhalten. Häufig interessieren sich die Partner nicht dafür, was genau sie gerade verbreiten sollen und werden so zu Komplizen von Cyberkriminellen, ohne es zu ahnen. Das mindert ihre Schuld natürlich nicht.
  • PPI-Ressourcen: Eine Organisation, die Auftraggeber und Ausführenden zusammenbringt und dafür prozentual am Geschäft beteiligt wird.


Funktionsschema eines schwarzen PPI-Modells

Neben den Partnerprogrammen, die allen Interessierten offen stehen, gibt es auch noch eine Vielzahl von „heimlichen“ Partnerprogrammen, an denen nur die großen Player des Cyberkriminellen-Business teilnehmen wie zum Beispiel die Inhaber von Botnetzen. Man kann nur ahnen, welche Geldsummen bei einer derartigen Kooperation über den Tisch gehen.

Bleibt nur noch eine Frage offen: Wer bezahlt die Cyberkriminellen für ihre Leistungen? Die Antwort hierauf ist so eindeutig wie offensichtlich: die Anwender. Und zwar mit ihrem eigenen Geld, ihren vertraulichen Daten oder der Rechenleistung ihres Computers.

Beispiel für ein PPI-Programm: InstallConverter

Der InstallConverter ist eines der derzeit populärsten PPI-Programme. In der Regel zahlt die PPI-Ressource für 1000 echte Downloads, wobei der Preis vom Wohnsitz der Anwender abhängt. Den Höchstpreis von 170 US-Dollar zahlt InstallConverter für den Download auf die Computer von US-amerikanischen Anwendern.


Homepage von InstallConverter

Nachdem sich der Partner auf der Webseite registriert hat und vom Inhaber offiziell akzeptiert wurde, muss er im Folgenden eine persönliche ausführbare Datei verbreiten. Unter „persönlich“ wird verstanden, dass sich die Nummer des Partners eindeutig der ausführbaren Datei zuordnen lässt. So kann der Inhaber die Arbeit des Partners problemlos überwachen. Nach Erhalt der Datei kann der Partner diese nach beliebigen Methoden in Umlauf bringen: über das Web, über P2P-Netze (BitTorrent, eMule, DC++ und andere), über Instant-Messaging-Systeme oder auch mit Hilfe eines Botnetzes. Über einen Link kann der Partner eine neue Datei beziehen, falls die alte von einem Antiviren-Programm entdeckt werden sollte.


Abschnitt „Download Files“, wo ausführbare Dateien heruntergeladen werden können

Es ist auch möglich, nicht die ausführbare Zieldatei selbst zu verbreiten, sondern beispielsweise einen kleinen Downloader, der dann wiederum die ausführbare Datei lädt. Oder aber der Partner „hängt“ die Schaddatei an ein legales Programm und bringt es auf diesem Wege an den User. Zudem besteht die Möglichkeit, den Schädling mit einem speziellen Packer zu verschlüsseln und ihn auf diese Weise zu verbreiten. Wie die Schädlinge in Umlauf gebracht werden, bleibt also allein der Phantasie und den Möglichkeiten des Partners überlassen.

Welche Schadprogramme genau mit Hilfe von InstallConverter verbreitet wurden, lässt sich nicht mit Bestimmtheit sagen, doch in den letzten paar Monaten handelte es sich ausschließlich um TDSS-Installer, einen der komplexesten und gefährlichsten Backdoors der heutigen Zeit. Bemerkenswert ist auch, dass TDSS unter anderem über die Möglichkeit verfügt, andere Schadprogramme auf die infizierten Computer zu laden. Infolgedessen können Inhaber eines Netzes von Rechnern, die mit TDSS infiziert sind, selbst an derartigen Partnerprogrammen teilnehmen und an den Downloads verdienen.

Fazit

Sicherlich wird mit den hier beschriebenen Schemata nicht das gesamte Spektrum der cyberkriminellen Möglichkeiten im Internet abgedeckt, doch ein bedeutender Teil wurde damit erfasst.

Das moderne Internet ist ein gefährliches Pflaster: Es reicht bereits aus, auf einen Link in den Ergebnissen einer Suchmaschine zu klicken oder auf eine beliebige Site zu surfen, die erst kurz zuvor infiziert wurde, um seinen eigenen Computer in einen Zombie-Rechner zu verwandeln. Die Cyberkriminellen wollen vor allem eins, nämlich das Geld der Anwender beziehungsweise die vertraulichen Daten der User. Diese geben ihnen letztlich auf die eine oder andere Weise ebenfalls die Möglichkeit, sich zu bereichern. Daher nutzen die Online-Kriminellen jede sich ihnen bietende Möglichkeit, Schädlinge auf den Computern der Anwender zu platzieren.

In Sicherheit wiegen kann sich nur derjenige, der ständig die auf seinem Rechner laufende Software aktualisiert, insbesondere die, die in irgendeinem Zusammenhang mit dem Internet-Browser steht. Wichtig ist zudem, dass auf dem Computer eine moderne, komplexe Sicherheitslösung mitsamt Datenbanken installiert ist, die immer auf dem neusten Stand sind. Und zusammenfassend gilt: Seien Sie äußerst misstrauisch gegenüber externen Informationen aus dem Internet.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.