Spambot im Nebel

Die Experten von SonicWALL (im Besitz von Dell) haben einen ungewöhnlichen Spambot entdeckt, der eine große Anzahl von HTTP POST- und GET-Anfragen generiert, um seine wahre Intention zu verschleiern und mögliche Verfolger zu verwirren.

„Es scheint, als versuche er, bedeutende, die eigentliche Ladung enthaltende Kommunikation in der Masse unschädlicher Anfragen zu verbergen, die nichts Bemerkenswertes enthalten“, kommentiert Ed Miles, Senior Virenanalyst bei SonicWALL. „Er versteckt sich im eigenen Traffic.“

Der Spambot, den SonicWALL auf den Namen Wigon.PH_44 taufte, wird auf gehackten Websites in Umlauf gebracht, die unter WordPress laufen. Zum derzeitigen Zeitpunkt wurden 200 solcher Ressourcen identifiziert, die insgesamt 15.000 Mal aufgerufen wurden, hauptsächlich in den USA. Bisher ist nicht klar, auf welche Weise WordPress kompromittiert wurde.

Wigon funktioniert unter verschiedenen Windows-Versionen, einschließlich 64-Bit ХР und Windows 8. Seine Funktionalität ist nicht auf den Spam-Versand beschränkt: Die Forscher haben außerdem eine Komponente für den Datendiebstahl aus E-Mail-Programmen und FTP-Anwendungen entdeckt, wie z.B. CuteFTP, FTP Commander, FTP Navigator, FileZilla und andere. Nach der Installation verbindet sich der Schädling mit seinem C&C-Server und erhält den Befehl, weitere Schädlinge via Spam zu versenden.

Bei der Analyse des neuen Spambots bemerkten Miles und sein Kollege Deepen Desai eine Ähnlichkeit zu Cutwail, doch bisher sind sie noch nicht gewillt, Wigon als neue Variante dieser wohl bekannten Bedrohung anzusehen. „Wir stellten fest, dass der Schädling Schablonen für [Spam-] Mails über HTTP-Anfragen erhält, doch sie werden in verschlüsselter Form übermittelt“, erklärt Desai. „Diese Besonderheit beobachteten wir unter anderem auch seinerzeit bei Cutwail. Nun aber zu behaupten, dass es sich hier um Cutwail handelt, erscheint mir verfrüht, obgleich das von ihm an den Tag gelegte Verhalten für eine Ähnlichkeit spricht.“

Mit der Verhaftung des Blackhole-Autors und der daraus resultierenden verringerten Verwendung dieses Exploit-Packs wird auch etwas weniger Schadspam von Botnetzen verschickt, Cutwail eingeschlossen. Cyberkriminelle, die bisher auf Blackhole gesetzt haben, sind nun gezwungen, sich nach Alternativen umzusehen, um die gewinnbringenden Programme an die Nutzer auszuliefern, in erster Linie Banken-Trojaner und Dateien verschlüsselnde Blocker.

Quelle: softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.