Gumblagra und ein Piano

Seit Anfang August sind unseren japanischen Kollegen über 900 E-Mails eines bestimmten Typs in ihre Spamfallen gegangen.

In allen Mails konnten wir zwei gemeinsame Muster feststellen. Zunächst führen die in diesen Spam-Nachrichten enthaltenen Links immer zu kompromittierten Servern. Weiterhin bestehen die Dateinamen der Redirectoren stets aus orthografisch korrekten Worten, auf die zwei Ziffern folgen. Diese Dateien bringen die Nutzer auf die Websites von Online-Apotheken und gefälschten Uhrengeschäften. Nachstehend ein Screen-Capture eines Verzeichnisses, das auf einer dieser Websites gehosted wird:

Sie werden sich sicherlich fragen, was genau unsere Aufmerksamkeit geweckt hat. Die Antwort ist einfach: Mehr als die Hälfte dieser Dateien enthielten Links zu ‚gumblar.x’-Servern.

Der obere rote Link weist auf eine Apotheken-Website, während es sich bei dem unteren Link um eine gumblar.x-URL handelt.

Klickt ein argloser (und nicht geschützter) Nutzer nun also diese Links in seiner E-Mail an, wird er beim Durchblättern des Pillenkatalogs einen typischen „Gumblar-Angriff“ erleben. Der kürzlich verzeichnete Höhepunkt derartiger Hybrid-Angriffe lässt darauf schließen, dass der/die Cyberkriminelle(n), deren Zahl mit dem Gumblar-Botnet langsam aber sicher immer weiter gestiegen ist, und die bisher darauf aus waren, sich im Hintergrund zu halten, nun beginnen, daraus Kapital zu schlagen. Die ersten Testläufe kombinierter Apotheken/Gumblar-Seiten sind von unseren Analysten sogar schon im April 2010 identifiziert worden, als wir einige E-Mails dieser Art mit einem Betreff wie z.B. „Twitter 61-213“ fanden.

Eine weitere Analyse der betroffenen Server zeigte, dass bei einer ganzen Reihe von ihnen Schadcode direkt in die Wurzel www. eingeschleust worden war. Hauptsächlich zählten wir gumblar.x-Trojaner, aber auch einige ‚pegel.*’ und anderen verborgenen Code, in dem IFramer oder sonstige Redirectoren enthalten waren.

Ferne enthielten SÄMTLICHE Domänen am Ende der Datei einen Link zu ‚hxxp://nuttypiano.com/*.js‘.

Mehr als 300 verschiedene .js-Dateien, deren Inhalt verborgen ist und die den bekannten ‚pegel’-Bedrohungen ähneln, sind auf solchen Servern im Umlauf. Um die Arbeit der Virenexperten zu erschweren, wird der Schadcode nur ein einziges Mal an dieselbe IP-Adresse gesendet. Trotzdem ist es uns gelungen, mehrere Samples von denselben Adressen herunterzuladen und polymorph-ähnliche Strukturen zu identifizieren.

Sie dienen zur Weiterleitung auf weitere unzählige Sites, die wiederum versuchen, weitere Schadprogramme auf den Opfercomputer zu bringen.

Hier finden Sie einen kurzen, nach Ländern geordneten Überblick solcher infizierten Sites: #1 ist die USA, gefolgt von FR, DE, TR und JP. Betroffenen Webmastern wird empfohlen, ihre kompromittierten FTP-Zugangsdaten zu ändern, die Computer, auf die das Leck zurückzuführen ist, zu säubern und ihre Server-Protokolle auf weitere Informationen zu überprüfen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.