Spammer verstecken Botnetz hinter gehackten Websites

Trend Micro hat eine neue Taktik aufgedeckt, die von Spammern zur Verlängerung der Lebensdauer ihres Botnetzes eingesetzt wird. Die Cyberkriminellen verteilten die Hauptfunktionen, die im Rahmen der Spam-Kampagnen ausgeführt werden, und fuhren die Interaktion zwischen den funktionalen Knoten des Botnetzes auf ein Minimum zurück.

Laut Trend Micro aktiviert das Botnetz StealRat drei ausführende Ebenen:

  • kompromittierte Websites, die Spam versenden;
  • infizierte Systeme, die zum Download und der Weitergabe von Daten genutzt werden, die für die Durchführung der Spam-Versendungen unerlässlich sind;
  • kompromittierte Websites, die den Schädling laden.

Das prinzipielle Funktionsschema des Botnetzes läuft folgendermaßen ab:

  1. Das Infektionsopfer verbindet sich mit dem von den Botmastern kontrollierten Server und lädt die Daten zur Durchführung der Spam-Versendung – die Adresse des Backup-Mailservers, die Absendernamen, Empfängeradressen und Spam-Schablonen;
  2. diese Informationen werden an eine kompromittierte Website weitergegeben, die sie zum Verfassen und Verbreiten der Spam-Mail verwendet, welche wiederum mit einem schädlichen Link ausgestattet ist;
  3. die Empfänger, die auf den schädlichen Link klicken, landen auf einer anderen kompromittierten Site (in der Regel Pornoressourcen oder Online-Apotheken) und werden attackiert.

Durch eine solche Organisation des Angriffs wird der Server der Spammer durch drei Ebenen unfreiwilliger Teilnehmer des Botnetzes geschützt: zwei von ihnen sind kompromittierte Websites, die Dritten sind infizierte Rechner. „Ein infizierter PC dient als Bindeglied zwischen dem Server und der gehackten Website.“, erklärt Jessa De La Torre, Spezialist zur Bekämpfung von Internet-Bedrohungen bei Trend Micro. „Da der Server nicht direkt mit der Spam-Quelle interagiert, entsteht der Eindruck, dass die Spam-Mails von einem infizierten Computer aus verbreitet werden. Dabei transportiert die Spam-Mail selbst nicht die Payload, daher gibt es auch keine sichtbare Verbindung zwischen ihr und dem Schadprogramm. Im Grunde haben sie [die Botmaster] die Schlüsselfunktionen aufgeteilt und deren Zusammenwirken auf ein Minimum heruntergefahren, um so alle Fäden zu kappen, mit denen man sie miteinander in Verbindung bringen könnte.“

Die gehackte Website, die zur Durchführung der Spam-Versendung genutzt wird, enthält eine Auswahl spezialisierter php-Skripte sowie Informationen über den schädlichen Link, der in die Schablone integriert wird. Als E-Mail Dienst des Absenders der schädlichen Versendungen dient die Domain, in der die Spam generierende Website untergebracht ist: [Name des Absenders]@[Name der Domain].

Der von den Botmastern verwendete Schädling ist ebenfalls außergewöhnlich. Beim Empfang der Instruktionen vom C&C-Server versuchen einige seiner Varianten beispielsweise den Netztraffic zu verbergen, indem sie den Namen des Hosts durch google.com ersetzen. Dabei verbinden sie sich nicht direkt mit dem Server, sondern fragen einen E-Mail-Dienst in derselben Domain an, d.h. mx1.[Name der Domain]. Als Folge wird in dem vom Schädling generierten Netztraffic nur ein falscher Name des Hosts dargestellt, mit dem eine Verbindung hergestellt wurde – google.com.  

Nach einer einmonatigen Untersuchung von StealRat konnten die Experten die folgenden Informationen über das Botnetz zusammentragen:

  • Der Spamversand erfolgt über ca.85.000 individuelle Domains/IP-Adressen;
  • jede IP/Domain enthält durchschnittlich zwei Skripte zum Spamversand;
  • jeder infizierte Computer sendet täglich nicht weniger als 8.640 Einträge an die Spam generierenden Websites;
  • die Spam-Datenbank von StealRat enthält in etwa 7 Millionen Adressen potentieller Spam-Empfänger.

Quelle: Softpedia

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.