Japan Katastrophen-Spam, Teil 3

Letzte Woche haben wir einen Blog über die anhaltenden Spamversendungen veröffentlicht, die sich das Erdbeben in Japan zunutze machen, um Anwender zu infizieren. Hier nun die Fortsetzung, in der die verwendeten Exploits genauer beschrieben werden.

Unsere Analyse hat ergeben, dass die schädlichen Links anscheinend zu Websites führen, die das Incognito Exploit Kit hosten.

Hier ein interessantes Bild von den Servern, die das Exploit-Kit hosten:

Unten stehend finden Sie ein Beispiel aus diesen Spamversendungen, wobei sich dieses Exemplar als E-Mail von Twitter ausgibt:

Die E-Mail tarnt sich als “Twitter Support Message” und behauptet, der User hätte 6 ungelesene Nachrichten von Twitter.

Zudem wir ein VIDEO mit dem Titel „Inside the Fukushima’s exclusion zone“ (Im Sperrgebiet von Fukushima) empfohlen.

Klickt der Anwender auf den entsprechenden Link, wird er auf die gleiche Art von schädlichen Websites umgeleitet, die wir letzte Woche bereits beschrieben haben. Nehmen wir die Exploits, die zur Installation der schädlichen Payload eingesetzt werden, einmal genauer unter die Lupe; es handelt sich dabei um Variationen von Trojan-Downloader.Win32.Codecpack.

Wir überwachen die schädlichen Seiten aktiv. In den letzten 40 Stunden haben sich die schädlichen Domains, die die Exploits hosten, acht Mal geändert. Sie versuchen nach wie vor, User zu infizieren.

Ebenso wie bei der Exploit-Seite, von der letzte Woche die Rede war, stößt man auch hier – ist sie einmal entschlüsselt – auf noch mehr Exploits, die eingesetzt werden, um Anwender zu infizieren:

Java Deployment Toolkit: CVE-2010-0886 – April 2010

Java Deployment Toolkit Performs Insufficient Validation of Parameters führt zur Remote-Code-Ausführung.

Help Center URL Validation Vulnerability: CVE-2010-1885 – Juni 2010

Zu diesem Exploit wird ein iframe erstellt, und man sieht, dass es einen verschlüsselten Parameter gibt (der auf dem Screenshot oben größtenteils verschwommen dargestellt ist). Entschlüsselt erhält man den nachstehenden Code:

Im Wesentlichen erstellt er eine VBS-Datei, die ausgeführt wird, um die Malware auf dem Rechner des Anwenders zu installieren. Einmal ausgeführt, wird der Help-Center-Prozess mit Hilfe der Befehlszeile “taskkill” eliminiert (command line process killer).

Java Parse Midi Vulnerability : CVE-2010-0842 – April 2010

Ein kurzer Blick in “pap.class” zeigt das verwendete Exploit:

Schaut man sich die Payload dieses Exploits in einem Hex-Editor an, so wird die ausgenutzte Sicherheitslücke bestätigt, wie aus dem markierten Code hervorgeht:

Navigation Method Cross-Domain Vulnerability – CAN-2004-0549 (ms04-25)

Dies ist die älteste Sicherheitslücke, die im Incognito Exploit Kit ausgenutzt wird. Diese Schwachstelle stammt aus dem Jahr 2004. Bei der angegriffenen Software handelt es sich um den Internet Explorer, und sie ermöglicht Remote-Code-Ausführung:

Schädliches PDF

Exploit-Kits operieren häufig mit einem schädlichen PDF, und Incognito bildet hier keine Ausnahme.

Ein iframe zu einer schädlichen PDF-Datei wird ebenfalls von der Hauptseite des Exploit-Kits erstellt. Das PDF nutzt vier Sicherheitslücken aus. Das obfuskierte PDF verwendet JavaScript, um die Sicherheitslücken auszunutzen. In Abhängigkeit von der verwendeten Version des Adobe Readers kommen die folgenden Exploits zum Einsatz:

Adobe Reader Collab GetIcon CVE-2009-0927

Adobe Reader util.printf CVE-2008-2992

Adobe Reader newPlayer CVE-2009-4324

Adobe Reader CollectEmailInfo CVE-2007-5659

Welche Lehren lassen sich aus diesem Japan Katastrophen-Spam ziehen? Viele Leute aktualisieren ihre Computer immer noch nicht regelmäßig, und das betrifft insbesondere die Anwendungen von Drittanbietern. Das neuste Exploit aus diesem Kit datiert auf den Juni 2010, das älteste stammt aus dem Jahre 2004.

Ich werde meine Empfehlungen aus den vorhergehenden Blogs wiederholen, um ihnen noch mehr Nachdruck zu verleihen:

Die jüngsten Erfahrungen lehren uns, dass Cyberkriminelle immer wieder versuchen, Kapital aus Naturkatastrophen und aktuellen Nachrichten im Allgemeinen zu schlagen. Möchten Sie sich über solche Ereignisse auf dem Laufenden halten, so empfehlen wir Ihnen, legitime Nachrichten-Portale zu besuchen und niemals Links zu folgen, die Sie per E-Mail oder in sozialen Netzwerken erhalten haben.

Ebenso wichtig ist es, Ihr System regelmäßig zu aktualisieren – und das betrifft sowohl das Betriebssystem als auch Anwendungen von Drittanbietern wie etwa Java.

Und – last but not least – bringen Sie Ihre Sicherheitslösungen immer auf den neusten Stand.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.