Malware-Report für Februar 2012

Malware-Aktivität im Februar 2012

Der Februar in Zahlen

Im Laufe des Monats wurden auf den Computern der Anwender von Kaspersky-Produkten:

  • 143.574.335 Infizierungsversuche über das Netz registriert
  • 298.807.610 Schadprogramme entdeckt und unschädlich gemacht
  • 30.036.004 schädliche URLs entdeckt
  • 261.830.529 Netzattacken abgewehrt

Das neueste von Duqu

Aufgrund „heißer Spuren“ sind die Untersuchungen des Schadprogramms Duqu vom Stadium der aktiven Analyse in eine detaillierte Analyse und Auswertung der gesammelten Daten übergegangen. Im Januar und Februar 2012 konzentrierten sich die Experten von Kaspersky Lab im Wesentlichen auf die technischen Aspekte von Duqu – die Serversysteme zum Sammeln von Daten und die innere Struktur der trojanischen Module.

Seit Ende Dezember vergangenen Jahres entdeckte Kaspersky Lab keine Anzeichen mehr von Duqu im Netz. Wie den Experten bekannt wurde, säuberten die Autoren des Trojaners am 1. und 2. Dezember die von ihnen verwendeten Server auf der ganzen Welt. Sie versuchten, die Fehler zu korrigieren, die ihnen am 20. Oktober bei der ersten Sanierung der Server unterlaufen waren.

Daher können wir nun erste Zwischenergebnisse der letzten Attacke präsentieren.

Kaspersky Lab registrierte fünfzehn Duqu-Vorfälle, wobei sich die überwiegende Mehrheit der Opfer im Iran befindet. Eine Analyse der Tätigkeit der betroffenen Organisationen und der Art der Informationen, an denen die Duqu-Autoren interessiert waren, lässt die Schlussfolgerung zu, dass das Hauptziel der Angreifer Informationen aller Art zu Produktionssteuerungssystemen in verschiedenen Industriezweigen des Iran waren sowie Informationen über die Handelsbeziehungen einer Reihe von iranischen Organisationen.

Im Zuge der Analyse des Duqu-Codes kamen die Experten von Kaspersky Lab zu dem Schluss, dass die Autoren dieses Trojaners neben einer bestimmten einheitlichen Plattform, die Tilded getauft wurde, höchstwahrscheinlich auch ein eigenes Framework verwendeten, das in einer unbekannten Programmiersprache geschrieben wurde. Über diese einzigartige Entwicklung berichtete Kaspersky Lab in einem gesondertenBlogeintrag.

Ausgehend von den zusammengetragenen Daten vermuten die Experten, dass die Entwickler von Tilded ihre Arbeit kaum einstellen und wir es in Zukunft (möglicherweise in nicht allzu ferner) mit ihrer neusten Entwicklung zu tun bekommen werden.

Angriffe auf Heimanwender

Sicherheitslücken im Bezahlsystem Google Wallet

Im Herbst 2011 präsentierte das Unternehmen Google sein Bezahlsystem Google Wallet, das es ermöglicht, Waren und Dienstleistungen mittels Android-Smartphones zu kaufen, die über ein NFC-Modul verfügen (Near Field Communication, eine drahtlose Kommunikationstechnologie). Google Wallet wird als Anwendung auf dem Smartphone installiert und verwendet die Daten einer Kreditkarte. Um zu bezahlen, muss der Besitzer des Telefons einen PIN-Code in Google Wallet eingeben und das Telefon an ein Lesegerät halten, um die Daten zur Durchführung der Transaktion in verschlüsselter Form zu übermitteln.

Als Google das neue Bezahlsystem ankündigte, hatten Sicherheitsexperten Bedenken bezüglich der Sicherheit im Falle des Verlusts oder bei Diebstahl des Telefons, das damit inklusive Google Wallet in fremde Hände geraten würde. Im Februar wurden gleich zwei Methoden zum Hacken des Google-Portemonnaies aufgedeckt, die in derartigen Fällen zum Einsatz kommen könnten.

Zuerst entdeckte Joshua Rubin, ein Ingenieur des Unternehmens zVelo, wie man den PIN-Code ohne physikalischen Zugriff auf das Telefon herausfinden kann. Die Daten des Bankkontos werden in einem speziellen geschützten Abschnitt (Secure Element) des NFC-Chips gespeichert, doch der Hash-Wert des PIN-Codes befindet sich im Dateisystem des Telefons. Um den Hash-Wert lesen zu können, benötigt man Root-Zugriff auf das Telefon, den man sich mit Hilfe von altbekannten Hackermethoden verschaffen kann. Da der PIN-Code nur aus vier Ziffern besteht, kann man sich ausrechnen, dass es für Hacker kein allzu großes Problem darstellt, die richtige Kombination mit Hilfe der Brute-Force-Methode herauszufinden. Wurde der Code richtig zusammengesetzt, können Cyberkriminelle ihre Einkäufe über das Google Wallet-Konto des rechtmäßigen Telefon-Besitzers bezahlen.

Einen Tag nach der Entdeckung dieser Sicherheitslücke erschienen Informationen über eine weitere Möglichkeit, sich Zugriff auf ein fremdes Google-Konto auf einem gefundenen oder gestohlenen Smartphone zu verschaffen. Das gelingt, ohne das System hacken zu müssen, das heißt ohne dass ein Root-Zugriff nötig wäre. In diesem Fall wurde eine Sicherheitslücke in Google Wallet selbst ausgenutzt. Geht man ins Menü „Anwendungseigenschaften“ und löscht alle Daten, die zur Google Wallet gehören, fordert die Anwendung den Nutzer beim nächsten Start auf, einen neuen PIN-Code zu erstellen, ohne dass der alte eingegeben werden muss.

Google wurde umgehend über diese Sicherheitslücken informiert. Das Unternehmen stellte Google Wallet für einige Tage ein, um die aufgedeckten Fehler zu beheben. Später erklärte Google, dass die Sicherheitslücke in der Anwendung selbst beseitigt sei und dieser Service nun wieder normal funktioniere. Doch auch Anfang März gab es noch keine Informationen über die Ausbesserung der Schwachstelle unter Verwendung der Brute-Force-Methode, mit Hilfe derer der richtige PIN-Code gefunden werden kann. Um unautorisierten Zugriff auf den Hash-Wert des PIN-Codes zu verhindern, muss er im sicheren Abschnitt auf dem NFC-Chip gespeichert werden. Doch hier kommen rechtliche Schwierigkeiten ins Spiel: In diesem Fall geht die Verantwortung für die Aufbewahrung der PIN von Google auf die Banken über, die für den sicheren Abschnitt – das Secure Element – zuständig sind.

Gefälschte Google Analytics-Codes

Der Hack von Webseiten wird in den meisten Fällen von Cyberkriminellen genutzt, um Schadprogramme zu verbreiten, indem sie schädlichen Code in die Webseiten der gehackten Ressourcen einschleusen. Damit die Inhaber der kompromittierten Seiten so lange wie möglich keine Veränderungen bemerken, werden alle nur erdenklichen Tricks eingesetzt. Anfang Februar registrierte Kaspersky Lab eine Infektionswelle, im Zuge derer schädlicher Code als Code von Google Analytics getarnt war, dem statistischen Dienst von Google.

Der gefälschte Code enthält einige charakteristische Merkmale:

  1. Im Schadcode steht anstelle der Originaladresse google-analytics.com eine Adresse mit doppeltem Bindestrich: google–analytics.com.
  2. Im Originalcode besteht der Identifier des Google-Kontos aus einer nur einmal vorkommenden Zeile mit Ziffern (beispielsweise „UA-5902056-8“) und er ordnet die Webseite eindeutig dem statistischen Dienst zu. Im Schadcode wird anstelle der einmaligen Zeile die Zeile „UA-XXXXX-X“ verwendet.
  3. Der von den Webgangstern eingeschleuste Code wird am Anfang des Codes der Seite platziert, noch vor dem Tag „<html>“, während der Originalcode von Google Analytics von den Entwicklern üblicherweise am Ende der Seite hinzugefügt wird.

Der Code bewirkte, dass der Browser nach Eingabe der Adresse der Cyberkriminellen (google–analytics.com) ein verschleiertes Javascript namens „ga.js“ lud und die Besucher der gehackten Seite nach einigen Umleitungen unbemerkt auf einen Server umgeleitet wurden, auf dem sich die Exploitsammlung BlackHole Exploit Kit befand. Bei erfolgreicher Ausführung des Exploits infizierte sich der Computer mit einem Schadprogramm.

Zum gegenwärtigen Zeitpunkt ist die Webseite google–analytics.com nicht erreichbar. Doch auf einigen gehackten Webressourcen registriert Kaspersky Lab nach wie vor den gefälschten Code von Google Analytics, der nun allerdings (zumindest derzeit) unschädlich ist.

Mobile Bedrohungen

Die jüngsten Ereignisse in der Welt der mobilen Bedrohungen zeigen, dass mobile Botnetze im Jahr 2012 zu einem der dringlichsten Probleme werden könnten – sowohl für die Nutzer von Smartphones als auch für die Antiviren-Industrie.

Mobiles Botnetz RootSmart

Chinesischen Virenschreibern ist es gelungen, innerhalb sehr kurzer Zeit ein Botnetz aufzubauen, in dem die Zahl der aktiven Geräte zwischen 10.000 und 30.000 schwankt, wobei die Gesamtzahl der seit dem Bestehen des Botnetzes infizierten Smartphones in die Hunderttausende geht. Nach der Klassifikation von Kaspersky Lab gehören die Bots zur Familie Backdoor.AndroidOS.RootSmart. Alle infizierten Geräte, die dem Zombie-Netz RootSmart angegliedert sind, können entfernt Befehle des Steuerungs-Servers entgegennehmen und ausführen.

Eine solche Anzahl infizierter Geräte ist eher für Botnetze auf der Basis von Computern unter Windows charakteristisch. Den Vorfällen nach zu urteilen gleichen sich die mobilen Botnetze ihrem Umfang nach langsam den herkömmlichen Windows-Botnetzen an, allerdings unterscheiden sie sich in den Möglichkeiten, wie mit ihnen Geld zu verdienen ist. Während die traditionellen Botnetze meist für DDoS-Attacken und den Versand von Werbung eingesetzt werden, sind diese Methoden für mobile Botnetze weniger effektiv.

Die Cyberkriminellen, die das Botnetz RootSmart kontrollieren, wählten den traditionellen und in der mobilen Cyberkriminalität gängigsten Weg, um mit dem Zombie-Netz Geld zu verdienen: Premium-SMS. Die Personen, die das Botnetz steuern, können die folgenden Optionen voreinstellen: die Versandfrequenz der teuren SMS (eine, zwei, drei oder mehr pro Tag), die Anzahl der Tage, an denen Kurznachrichten versendet werden und die Kurznummern, an die die SMS gesendet werden. Bedenkt man, dass die Online-Verbrecher die volle Kontrolle über die infizierten Geräte haben, können sie so vorgehen, dass deren Besitzer keinen Verdacht schöpfen (zum Beispiel die billigsten Kurznummern verwenden) und die Monetisierung des Botnetzes kontrollieren. Dieser Ansatz ermöglicht im Gegensatz zu herkömmlichen SMS-Trojanern ein stabiles Einkommen über einen langen Zeitraum.

Inhaftierung der Foncy-Autoren

Im Januar 2012 entdeckten die Kaspersky-Experten mit Backdoor.Linux.Foncy.a das derzeit wohl eindrucksvollste Exemplar eines Schadprogramms, mit dessen Hilfe Cyberkriminelle ein infiziertes Gerät remote kontrollieren können, indem es ihm verschiedene Befehle sendet.

Das Backdoor wird mit Hilfe eines APK-Droppers zusammen mit einem Root-Exploit (Exploit.Linux.Lotoor.ac) und einem SMS-Trojaner (Trojan-SMS.AndroidOS.Foncy.a) im System installiert. Zur Erinnerung: Die SMS-Trojaner-Familie Foncy wurde bereits im November 2011 entdeckt.

Ende Februar machte eine erfreuliche Nachricht die Runde: Zwei Personen wurden in Paris festgenommen, die in dem Verdacht stehen, mehr als 2.000 Android-Geräte mit Schadprogrammen der Familie Foncy infiziert zu haben. Dies ist der erste Fall, in dem Autoren von mobiler Schadsoftware inhaftiert wurden. Dabei lagen zwischen den ersten veröffentlichten Informationen über Foncy und der Festnahme insgesamt nicht mehr als 3 Monate. Es bleibt zu hoffen, dass die Angelegenheit auch zu einem logischen Schluss kommt und wir demnächst von der ersten Verurteilung von Autoren von Schädlingen für mobile Geräte hören werden. Nach Einschätzungen der Behörden richteten die Cyberkriminellen einen finanziellen Schaden in Höhe von 100.000 Euro an.

Attacken auf Netzwerke von Unternehmen und großen Organisationen

Auch im Februar waren die Hacktivisten nicht untätig und Mitglieder der Gruppe Anonymous griffen finanzielle und politische Webressourcen an.

Den Attacken von Hacktivisten waren die Webseiten der amerikanischen Unternehmen Combined Systems Inc. (CSI) und Sur-Tec Inc. ausgesetzt. Die Unternehmen wurden beschuldigt, verschiedene Techniken zur Überwachung der Bürger sowie Tränengas und andere Mittel zur Niederschlagung von Demonstrationen und Kundgebungen in mehrere Länder geliefert zu haben. So wurde CSI der Lieferung derartiger Technologien nach Ägypten zur Zeit des gestürzten Präsidenten Mubarak beschuldigt, sowie nach Israel, Guatemala und in einige andere Länder. Den Hackern gelang es, die interne Korrespondenz des Unternehmens, die Kundenliste und verschiedene interne Dokumente zu stehlen. All das wurde daraufhin auf der Webseite pastebin.com veröffentlicht.

Zudem wurde auch eine Reihe von Webseiten gehackt, die zu der Federal Trade Commission der USA gehören. Diese Aktion wurde im Rahmen des Kampfes von Anonymous gegen ACTA (Anti Counterfeiting Trade Agreement) durchgeführt. Auf den gehackten Seiten wurde ein Video mit Protesten gegen ACTA platziert. Von diesen Webseiten wurden zudem Zugangsdaten von Nutzern gestohlen, die die Hacktivisten später auf pastebin.com veröffentlichten.

Die Verantwortung für diese Attacken nahm dieselbe Gruppe auf sich, die im Januar eine Reihe von DDoS-Attacken im Zeichen des Protestes gegen die Schließung der Webseite Megaupload.com organisiert hatte. Damals setzten sie Webseiten des Justizministeriums der USA, der Universal Music Group, der Recording Industry Association of America und der Motion Picture Association of America außer Betrieb.

Eine andere Anonymous-Gruppe (LONGwave99) griff verschiedene Finanzinstitutionen der USA an. Am 14. und 15. Februar gelang es ihnen, mit Hilfe von DDoS-Attacken Webseiten der Fondsbörsen NASDAQ, BATS, Chicago Board Options Exchange (CBOE) und Miami Stock Exchange für mehrere Stunden lahm zu legen. Die Attacken, die im Rahmen der „Operation Digital Tornado“ durchgeführt wurden, hatten nach Angaben von Börsenvertretern keinen Einfluss auf die Handelssysteme.

Die polizeilichen Ermittlungen zur Aktivität von Hacktivisten halten an. Ende Februar wurden infolge einer gemeinsamen Operation von Interpol und der Strafverfolgungsbehörden von Argentinien, Chile, Kolumbien und Spanien 25 Personen festgenommen, die der Mitwirkung an verschiedenen Attacken beschuldigt werden. Als Reaktion auf diese Operation organisierte Anonymous eine DDoS-Attacke auf die Webseite von Interpol, die infolgedessen für einige Stunden nicht erreichbar war.

In Russland waren DDoS-Attacken in Hinblick auf die nahenden Präsidentschaftswahlen ebenfalls ein Werkzeug des politischen Kampfes. Politisch motivierten Angriffen ausgesetzt waren Webseiten der Massenmedien sowie Ressourcen der Opposition und der Regierung. Interessant ist, dass bei einer ganzen Serie von Angriffen, die von Kaspersky Lab registriert wurden, Botnetze ein- und desselben Typs (Ruskill) zum Einsatz kamen, die sich gegenseitig abwechselten. Insgesamt zählte Kaspersky Lab 8 Botnetz-Steuerungszentren, die in verschiedenen Ländern, auf unterschiedlichen Plattformen und bei unterschiedlichen Providern untergebracht sind. Allerdings werden alle diese Kommandozentralen mit hoher Wahrscheinlichkeit von ein und denselben Leuten gesteuert.

In vielen Fällen wurden Botnetze, die jetzt bei politischen Attacken zum Einsatz kommen, früher zur Durchführung eindeutig kommerzieller DDoS-Attacken verwendet, wobei im Wesentlichen Online-Shops, Banken, Foren und persönliche Blogs betroffen waren. Offensichtlich waren diese Zombie-Netze auch an politisch motivierten DDoS-Attacken auf kommerzieller Grundlage beteiligt. Ihre Betreiber sind schlicht und einfach Söldner, die bereit sind, für Geld alles und jeden anzugreifen.

Top 10 im Februar

Top 10 der Internet-Schädlinge

1 Malicious URL 91,26% 0
2 Trojan.Script.Iframer 5,81% 0
3 Trojan.Script.Generic 2,15% 0
4 Trojan-Downloader.Script.Generic 0,95% 2
5 Trojan.Win32.Generic 0,47% -2
6 Trojan-Downloader.JS.Agent.gmr 0,43% neu
7 Trojan-Spy.JS.Agent.c 0,37% -2
8 Trojan-Downloader.Win32.Agent.gyai 0,35% 1
9 Trojan.JS.Redirector.ue 0,31% neu
10 Trojan.JS.Popupper.aw 0,30% -1

Top 10 der Länder, auf deren Ressourcen Schadprogramme untergebracht sind

1 Holland 22,49%
2 USA 20,97%
3 Russland 16,82%
4 Deutschland 10,09%
5 Ukraine 4,57%
6 Großbritannien 4,43%
7 Britische Jungferninseln 1,89%
8 Frankreich 1,79%
9 China 1,45%
10 Kanada 1,10%

Top 10 der Domain-Zonen, in denen Schadprogramme untergebracht sind

1 ru 48.523.586
2 com 46.111.931
3 info 15.454.153
4 net 10.140.453
5 org 5.326.917
6 in 4.724.839
7 pl 1.465.601
8 me 1.100.728
9 eu 704,525
10 biz 637,536

Top 10 der Länder, in denen Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind

1 Russland 53,75% 0
2 Elfenbeinküste 49,25% neu
3 Armenien 45,47% -1
4 Kasachstan 44,99% 1
5 Weißrussland 43,89% 1
6 Aserbaidschan 43,08% -2
7 Ukraine 41,93% 0
8 Moldawien 38,16% 2
9 Bangladesch 35,70% neu
10 Usbekistan 35,37% -2

Top 10 der Länder, in denen Computer dem geringsten Risiko einer Infektion über das Internet ausgesetzt sind

1 Taiwan (chinesische Sonderverwaltungszone) 8,22% 6
2 Japan 8,23% 2
3 Benin 9,21% -2
4 Luxemburg 10,13% 2
5 Mozambique 10,15% 3
6 Hongkong (chinesische Sonderverwaltungszone) 10,35% neu
7 Macau (chinesische Sonderverwaltungszone) 10,68% 2
8 Dänemark 11,01% -4
9 Neuseeland 11,23% neu
10 Südafrika 12,04% neu

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.