Social Engineering bei Twitter

Diese Woche ist Twitter an der Reihe: Nach Facebook und MySpace ist nun dieses Soziale Netzwerk zum Angriffsziel geworden, wobei nicht nur Twitter, sondern auch die Internet Community insgesamt im Visier stehen. Die Attacke geht von einem schädlichen Twitter-Profil twitter.com/[skip]/ aus. Es läuft unter einem portugiesischen Namen, der ‘süßer Hase’ bedeutet. Das Profil wirbt mit einem Foto für ein Girl-Video.

Dieses Profil wurde ganz offensichtlich einzig und allein zu dem Zweck erstellt, User zu infizieren, da es außer dem Foto mit dem Link zum Video keine weiteren Daten enthält.

Klickt man auf den Link, öffnet sich ein Fenster, in dem der Fortschritt eines automatischen Downloads einer so genannten neuen Version von Adobe Flash angezeigt wird, die angeblich erforderlich ist, um das Video abzuspielen. So landet schließlich eine als Adobe Flash betitelte Datei (natürlich gefälscht) auf dem Rechner- eine derzeit recht beliebte Infizierungsmethode.

In Wahrheit handelt es sich dabei um einen Trojan-Downloader, der im Folgenden 10 Banker auf den infizierten Rechner lädt, die alle als MP3-Dateien getarnt sind. Wir haben den Downloader zunächst proaktiv als Heur.Downloader erkannt und dann eine Signatur ergänzt, um ihn ebenfalls als Trojan-Downloader.Win32.Banload.sco zu erkennen. Aktuell verfolgt nur eine Person dieses Profil:

Wir vermuten, dass es sich dabei um einen der Autoren handelt. Die Person, die das schädliche Profil verfolgt, macht außerdem noch eine einzige andere Sache: Sie verfolgt noch ein drittes Profil.

Dieser spezielle Fall von Online-Kriminalität ist eindeutig brasilianischen Ursprungs. Die Hinweise dafür reichen von der portugiesischen Sprache über die Webserver, die die Bank-Malware hosten, bis hin zu der in die Malware integrierte E-Mail-Adresse, die zum Datenempfang von den infizierten Computern genutzt wird.

Diese Technik erfordert keine besonderen Programmierkenntnisse. Man kauft lediglich einige Trojaner, lädt sie auf einen Webserver und erstellt eine Reihe von Twitter-Profilen, die alle zusammenhängen.

Dann muss nur noch ein entsprechender Link in ein Soziales Netzwerk gestellt werden. Leider listet Google ungeschützte Twitter-Profile, so dass schädliche Seiten, die mit guten Social-Engineering-Techniken aufgebaut und vermarktet werden, hohe Positionen belegen.

Noch unheimlicher wird das Ganze, wenn so ein Angriff mit einer automatischen “Follow-Me-Schwachstelle“ in Twitter kombiniert wird. Gerade letzte Woche hat Ryan darüber geschrieben.

Glücklicherweise haben wir keine Links zu diesem speziellen Profil in Foren, Blogs oder anderen Sozialen Netzwerken gefunden – bis jetzt…

Diese Methode wird bei Twitter allerdings schon seit Ende 2007 erfolgreich eingesetzt. Das hier ist nur ein Beispiel, auf das ich übers Wochenende gestoßen bin. Wir beobachten dieses Profil weiter und halten verstärkt Ausschau nach ähnlichen Fällen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.