Web-Defacer an Spam-Betrug beteiligt

Für ihre Angriffe bedienen sich Cyberkriminelle in Brasilien und im größeren lateinamerikanischen Raum fast immer Social-Engineering-Tricks. In manchen Fällen versenden sie gefälschte Bank-E-Mails oder E-Mails von häufig verwendeten Internetdiensten. Die E-Mail-Datenbanken ihrer potentiellen Opfer werden auf Basis der aus den infizierten Computern gestohlenen E-Mail-Adressen und vor allem der in E-Mails-Clients abgespeicherten Adressen erstellt.

Sobald die E-Mail-Adressen zusammengestellt sind, benutzen die Betrüger verschiedene externe Tools wie PHP-Shells auf gehackten Webservern.

Bei meiner täglichen Analysearbeit bin ich auf eine interessante Shell für den Versand von Massenmails gestoßen. Anhand des Codes lässt sich bestimmen, dass diese vor Ort in Brasilien entwickelt wurde:

Durch Bearbeiten des ursprünglichen PHP-Codes können die Cyberkriminellen die „Original-Header“ der von ihnen versendeten Nachrichten fälschen. Äußerst interessant.

Und nun überprüfen wir die Original-IP-Adresse der betreffenden Domain:

Wie in diesem Fall zu erkennen ist, versenden die Betrüger gefälschte E-Mails unter Verwendung der Identität von IG (www.ig.com.br), einer in Brasilien sehr populären Internetressource. Sie fälschen den Mailer, die ursprüngliche IP-Adresse und sogar die Einstellungen der Spam-Filter. So ist die Wahrscheinlichkeit hoch, dass diese E-Mail-Nachricht das Opfer – vorbei an sämtlichen Spam-Filtern – erreicht. Sogar die erfahrensten IT-Experten sind nicht davor gefeit, in die Falle zu tappen und zu glauben, die Nachricht käme wirklich von IG.

Bei der Analyse des Codes entdeckte ich ein weiteres interessantes Detail in Zusammenhang mit der Shell. Der Server nämlich war von einem bekannten Defacer aus Brasilien (der Name wird in dieser Untersuchung nicht genannt), der auf der ganzen Welt ziemlich aktiv und berühmt-berüchtigt ist, gehackt worden. Allein am 7. September veränderte er/sie das die Optik von 42 verschiedenen Websites.

Früher war die Motivation von Web-Defacern ausschließlich politischer Natur. Dies hat sich geändert. Inzwischen werden Web-Defacer auch von Online-Gangs, die auf finanzielle Gewinne aus sind, als externe Dienstleister benutzt

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.