News

Gumblagra und ein Piano

Seit Anfang August sind unseren japanischen Kollegen über 900 E-Mails eines bestimmten Typs in ihre Spamfallen gegangen.

In allen Mails konnten wir zwei gemeinsame Muster feststellen. Zunächst führen die in diesen Spam-Nachrichten enthaltenen Links immer zu kompromittierten Servern. Weiterhin bestehen die Dateinamen der Redirectoren stets aus orthografisch korrekten Worten, auf die zwei Ziffern folgen. Diese Dateien bringen die Nutzer auf die Websites von Online-Apotheken und gefälschten Uhrengeschäften. Nachstehend ein Screen-Capture eines Verzeichnisses, das auf einer dieser Websites gehosted wird:

Sie werden sich sicherlich fragen, was genau unsere Aufmerksamkeit geweckt hat. Die Antwort ist einfach: Mehr als die Hälfte dieser Dateien enthielten Links zu ‚gumblar.x’-Servern.

Der obere rote Link weist auf eine Apotheken-Website, während es sich bei dem unteren Link um eine gumblar.x-URL handelt.

Klickt ein argloser (und nicht geschützter) Nutzer nun also diese Links in seiner E-Mail an, wird er beim Durchblättern des Pillenkatalogs einen typischen „Gumblar-Angriff“ erleben. Der kürzlich verzeichnete Höhepunkt derartiger Hybrid-Angriffe lässt darauf schließen, dass der/die Cyberkriminelle(n), deren Zahl mit dem Gumblar-Botnet langsam aber sicher immer weiter gestiegen ist, und die bisher darauf aus waren, sich im Hintergrund zu halten, nun beginnen, daraus Kapital zu schlagen. Die ersten Testläufe kombinierter Apotheken/Gumblar-Seiten sind von unseren Analysten sogar schon im April 2010 identifiziert worden, als wir einige E-Mails dieser Art mit einem Betreff wie z.B. „Twitter 61-213“ fanden.

Eine weitere Analyse der betroffenen Server zeigte, dass bei einer ganzen Reihe von ihnen Schadcode direkt in die Wurzel www. eingeschleust worden war. Hauptsächlich zählten wir gumblar.x-Trojaner, aber auch einige ‚pegel.*’ und anderen verborgenen Code, in dem IFramer oder sonstige Redirectoren enthalten waren.

Ferne enthielten SÄMTLICHE Domänen am Ende der Datei einen Link zu ‚hxxp://nuttypiano.com/*.js‘.

Mehr als 300 verschiedene .js-Dateien, deren Inhalt verborgen ist und die den bekannten ‚pegel’-Bedrohungen ähneln, sind auf solchen Servern im Umlauf. Um die Arbeit der Virenexperten zu erschweren, wird der Schadcode nur ein einziges Mal an dieselbe IP-Adresse gesendet. Trotzdem ist es uns gelungen, mehrere Samples von denselben Adressen herunterzuladen und polymorph-ähnliche Strukturen zu identifizieren.

Sie dienen zur Weiterleitung auf weitere unzählige Sites, die wiederum versuchen, weitere Schadprogramme auf den Opfercomputer zu bringen.

Hier finden Sie einen kurzen, nach Ländern geordneten Überblick solcher infizierten Sites: #1 ist die USA, gefolgt von FR, DE, TR und JP. Betroffenen Webmastern wird empfohlen, ihre kompromittierten FTP-Zugangsdaten zu ändern, die Computer, auf die das Leck zurückzuführen ist, zu säubern und ihre Server-Protokolle auf weitere Informationen zu überprüfen.

Gumblagra und ein Piano

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach