Typosquatter lauern Mac-Usern auf .om-Domains auf

Kürzlich wurde eine neue Cyberkampagne aufgedeckt, die schädliche Websites benutzt, die in der Domain-Zone .om, für Oman, untergebracht sind. Die Online-Gangster registrieren sie vorsätzlich in der Hoffnung darauf, dass die Nutzer anstelle von .com versehentlich .om in der Adressleiste ihres Browsers eingeben. Bemerkenswert ist, dass der Schädling, der im Rahmen dieser Kampagne eingesetzt wird, lediglich Computer unter OS X angreift.

Forscher des IT-Sicherheitsunternehmens Endgame identifizierten mehr als 300 Domain-Namen mit dem Suffix .om für bekannte US-amerikanische Unternehmen, wie z.B. Citibank, Dell, Macys, Gmail usw. Die gefälschten Sites sind bei verschiedenen Hosting-Providern untergebracht und werden offensichtlich von mehreren Cybercrime-Gruppen verwendet.

Allem Anschein nach sind Mac-Nutzer das Ziel dieser Cyberkampagne. Wie die Experten von Endgame feststellen konnten, wird dem Nutzer bei dem Besuch auf einer Site der Typosquatter von einem Apple-Computer aus eine gefälschte Mitteilung angezeigt, die besagt, dass Adobe Flash dringend aktualisiert werden müsse. Tatsächlich wird mit Hilfe dieses weit verbreiteten Tricks versucht, den Nutzer dazu zu bringen, ein Modul zum Anzeigen von Werbung herunterzuladen, das unter dem Namen Genieo bekannt ist.

Bei Genieo handelt es sich laut Endgame um „die neuste Variante einer Schadsoftware/Adware für OS X“, die „normalerweise als Update für Adobe Flash getarnt in das System des Nutzers eindringt“. Ist der Schädling einmal auf dem Zielrechner gelandet, lädt er zuallererst einen dmg-Container für OS X. „Daraufhin setzt sich Genieo bei dem Host fest, indem er sich selbst als Erweiterung zu verschiedenen unterstützten Browsern installiert (Chrome, Firefox, Safari)“, schreibt Mark Dufresne, Direktor für Malwareforschung des Unternehmens im Blog von Endgame.

Gerät ein User eines PCs unter Windows auf eine Site der Typosquatter, so wird er weitergeleitet in ein Werbenetz. „Die Zielseite ist mit allerhöchster Wahrscheinlichkeit übersät mit Anzeigen, Umfrageformularen mit dem Versprechen, bei Teilnahme elektronische Geräte zu gewinnen, oder mit besorgniserregenden „Untersuchungsergebnissen“, die den Nutzer dazu bringen sollen, irgendein angebliches Antivirenprogramm herunterzuladen und auszuführen, das seinerseits das Problem aber nur verschärft und die lästige Werbung vervielfacht“, erklärt Dufresne.

Im Interview mit Threatpost bemerkte der Experte zudem: „Wir haben nichts festgestellt, was über das Typosquatting zur Verteilung des wohl bekannten Schädlings Genieo und die Umleitung auf Werbenetze hinausging. Doch dem Umfang des Traffics nach zu urteilen, der versehentlich in die Zone .om umgeleitet wurde, könnte dieses Schema auch mit nicht geringem Erfolg zur Verbreiung von weitaus gefährlicheren Bedrohungen eingesetzt werden.“

Bei der Analyse dieser Kampagne widmeten die Forscher auch den Registrierungsdaten und dem Webhosting ihre Aufmerksamkeit. „Dreihundertvierunddreißig om-Sites, die mit im Internet wohl bekannten Namen in Verbindung stehen, sind auf 15 verschiedene Hosting-Provider verteilt“, stellt Dufresne in seinem Blogeintrag fest. Ein Drittel dieser Domains gehört zu IP-Adressen ein und desselben Hosters aus New Jersey.

„Es war keine Überraschung, dass der Software-Stack auf diesen Servern einheitlich war“, schreibt Dufresne weiter und ergänzt, dass viele Server hinter den betrügerischen Domains ungepatchte Sicherheitslücken haben, darunter auch Bugs, die das entfernte Ausführen von Code ermöglichen. „Diese Knoten können problemlos auch andere Cyberkriminelle nutzen, die dann alternativen (möglicherweise gefährlicheren) Schadcontent in Umlauf bringen, der sich von dem aktuellen unterscheidet“, warnt der Experte.

Threatpost hat den Administrator der Domainzone des Oman, die Telecom Regulatory Authority, in einem Schreiben um einen Kommentar gebeten, hat bisher allerdings noch keine Antwort erhalten. Leider kann man auch über die Internet Corporation for Assigned Names and Numbers nicht auf diese Behörde einwirken: Wie die ICANN gegenüber Threatpost erklärte, sind die Betreiber von nationalen Top-Level-Domains (im Gegensatz zu allgemeinen TDLs) nicht vertraglich an die ICANN gebunden, die Politik dieser Nonprofit-Organisation erstreckt sich lediglich auf allgemeine TLD, wie etwa .com, .net, .edu und .gov.

Aus diesem Grund werden alle Streitigkeiten in Bezug auf die Nutzung nationaler Top Level Domains (ccTLD) gewöhnlich auf der Grundlage der Gesetzgebung des jeweiligen Landes gelöst.

Dufresne schließt auch nicht aus, dass die Typosquatter irgendeine Lücke in der Prozedur zur Registrierung von .om-Domains ausnutzen. Als Vertreter von Endgame versuchten, omanische Domains zu registrieren, wurden sie aufgefordert, ihr Recht auf Registrierung einer kommerziellen Domain zu belegen. „Es ist nicht zu verstehen, wie es den Typosquattern gelingen konnte, so viele Domains innerhalb so kurzer Zeit zu registrieren“, staunt Dufresne.

Das einzige, was die Forscher mit Sicherheit feststellen konnten, ist die Tatsache, dass „die überwiegende Mehrheit der registrierten om-Domains schädlich ist, und dass das dort eingehende Traffic-Aufkommen ungewöhnlich hoch ist.“

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.