Krypto e.V.

Das FBI hat bekannt gegeben, dass in den USA Anklage gegen drei Männer erhoben wird, die den zuständigen Ermittlern zufolge Nutzern weltweit mehr als 100 Mio. US-Dollar mit Scareware abgeknöpft haben. Das ist eine Form des Betrugs, bei der mit den Ängsten der Nutzer gespielt wird, um sie um ihr Geld zu erleichtern. Im konkreten Fall waren es angebliche Scanner, die das Finden von Fehlern oder Viren im System vorgaukeln. Damit wurde den Nutzer angebliche Programme zur Problemlösung angedreht.

Diese Taktik zählt laut FBI zu den “schnellst wachsenden und gängigsten Formen des Internet-Betrugs”. Das hängt sicherlich mit den enormen Profiten zusammen, die solche Machenschaften versprechen. Denn die Schadensumme, die den Angeklagten vorgeworfen wird, ist noch relativ gering. Trend Micro kommt in einer aktuellen Analyse zum Schluss, dass eine auf falsche Antiviren-Software (Fake-AV) spezialisierte Online-Gang jährlich 180 Mio. US-Dollar einnimmt.

Falsche Anzeigen, falsche Hilfsprogramme
Das Trio aus zwei US-Bürgern und einem Schweden war dem FBI zufolge an einem Betrug beteiligt, bei dem Nutzer mithilfe falscher Online-Werbung auf von den Cyber- Kriminellen kontrollierte Webseiten umgeleitet wurden. Popups, die wie Systemmeldungen aussehen, spielen dem Nutzer vor, dass ein Systemscan auf kritische Fehler oder Malware gestoßen ist. Damit wurden Anwender gedrängt, die angeblichen Hilfsprogramme der Betrüger zu kaufen, um so die angeblichen Probleme zu beseitigen.

Der Anklage zufolge haben die Cyber-Kriminellen auf diese Art Nutzern in gut 60 Ländern über eine Mio. nutzlose Software-Produkte andreht und den Geschädigten dabei 30 bis 70 US-Dollar pro Programm entlockt. Doch auch Internet-Unternehmen, welche die angeblichen Anzeigen geschaltet haben, wurden geschädigt. Denn die Scareware-Bande hat sie den Ermittlern zufolge dafür nie bezahlt. Die wenigstens 85.000 Dollar an vorenthaltenen Entgelten sind allerdings ein Klacks im Vergleich zum Schaden durch den eigentlichen Scareware-Betrug.

Riesige Schattenindustrie
Scareware ist ein beliebter Gauner-Trick. Gerade Fake-AV ist einer Google-Schätzung zufolge bereits für mehr als die Hälfte aller verseuchten Werbeanzeigen verantwortlich. Andere Spielarten umfassen beispielsweise die im Frühjahr erstmals beobachteten Copyright-Scanner, welche Nutzer mit Urheberrechts-Klagen wegen Filesharing drohen.

Wenn dem Nutzer bei einem Scareware-Betrug nur Geld abgenommen wird, kann er sich noch glücklich schätzen. Denn wer beispielsweise ein falsches AV-Programm erwirbt, handelt sich oft einen echten Schädling ein. In untersuchten Fall wurden Nutzer via Botnet mit dubioser Werbung überschwemmt, was Teil des Schatten-Geschäftsmodells war. Den Log-Dateien eines Kontrollservers der Bande zufolge hat allein dieser Server über solche Werbe-Impressionen 25.000 US-Dollar pro Tag erwirtschaftet. Doch die Kriminellen dürften eine Vielzahl entsprechender Botnetze betreiben.

Microsoft hat der Produktpiraterie bei Windows 7 den Kampf angesagt. Ab kommender Woche wird der Konzern ein “Windows Activation Technologies Update” anbieten, das geknackte Windows-7-Versionen aufspürt. Die Aktualisierung wird anfangs mehr als 70 bekannte Aktivierungs-Exploits erkennen, so Joe Williams, Microsoft General Manager für Genuine Windows, im offiziellen Windows-Blog.

Einmal mehr betont Microsoft im Zusammenhang mit dem Kampf gegen Produktpiratrie, dass dieser letztendlich auch dem Schutz der Kunden vor potenziellen Gefahren dienen soll. Williams verweist in diesem Zusammenhang auf eine Studie des deutschen Antipiraterie-Unternehmenes Media Surveillance , nach der knapp ein Drittel der online verfügbaren Windows-7-Raubkopien virenverseucht sind.

Immer öfter schädliche Raubkopien
Das Argument für die Suche nach Raubkopien ist das mit illegalen Kopien verbundene Risiko. Williams verweist auf eine IDC-Studie von Oktober 2006, nach der damals eine von vier Webseiten, die illegale Kopien anbieten, beim Download unerwünschte oder gefährliche Software zu installieren versucht. Diese Rate sei im Ansteigen, denn nach der Media-Surveillance-Studie hätten von über 500 Windows-7-Raubkopien 32 Prozent Schadcode enthalten.

Freilich hatte Microsoft im August vergangenen Jahres unter Verweis auf die gleiche IDC-Studie noch betont, dass 43 Prozent aller illegalen Downloads verseucht seien. Insofern scheint durch die neuere Studie eher die damals von einem AV-Experten geäußerte Vermutung, dass professionelle Raubkopierer durchaus auf ihren Ruf achten und tendenziell eher saubere Software anbieten werden, bestätigt.

Sanfterer Antipiraterie-Kampf als bei Vista
Das Windows Activation Technologies Update wird für alle Versionen von Windows 7 angeboten. Sofern es Exploits entdeckt, bietet das System eine Problembehebung an, welche die Integrität des Betriebssystems sichern soll. In weiter Folge wird das System immer wieder mit neu entdeckter Hacks aktualisiert. Sofern eine Aktivierung als nicht echt erkannt wird, wird der User mit optischen Mitteln darauf hingewiesen. Funktionelle Einschränkungen des Betriebssystems, wie sie der “Reduced Functionality Mode” von Windows Vista für Raubkopien bedeutet hat, drohen aber laut Williams nicht.

Das Aktivierungs-Update ist ab 16. Februar zunächst über die Microsoft-Webseite verfügbar. In weiterer Folge wird es auch über Windows Update als “wichtige” Aktualisierung angeboten. “Ich möchte betonen, dass das Update freiwillig ist. Man kann sich gegen die Installation entscheiden, wen es auf Windows Update erscheint”, sagt Williams. Auch das ist zumindest vorerst ein weniger scharfes Vorgehen als bei Windows Vista. Dort war eine Erkennung bekannter Aktivierungs-Exploits in das Service Pack 1 integriert und somit Teil eines letztendlich notwendigen Updates.

Cyberkriminelle haben soziale Netzwerke im Jahr 2009 verstärkt ins Visier genommen. Der Versand sowohl von Malware als auch Spam über Facebook und Co hat im Jahresverlauf um rund 70 Prozent zugenommen. Zu diesem Ergebnis kommt der Security Threat Report 2010 des Sicherheitsunternehmens Sophos. Dieses Sicherheitsproblem ist auch für Unternehmen von Bedeutung.

Wie beliebt gerade Facebook bei Hackern ist, zeigt aktuell auch eine Kampagne mit einer gefälschten Virenwarnung vor einer angeblich schädlichen “Unnamed App”. Die Warnung wird von besorgten Nutzern auch durch Facebook-Nachrichten oder über die Pinnwand weiter verbreitet, warnt das AV-Unternehmen Panda Security. Ziel der Hintermänner ist, verunsicherte User zum Download einer gefälschten AV-Software zu bewegen.

Soziale Netzwerke lohnendes Ziel
Bei der aktuellen Kampagne setzen die Cyberkriminellen darauf, dass sich User genauer über die angebliche Gefahr informieren wollen. Dabei landen sie über Suchmaschinen auf gefährlichen Download-Seiten. Doch auch der Malware-Versand direkt über soziale Netzwerke ist dramatisch angestiegen. Bereits 36 Prozent der User geben laut Sophos an, dass sie 2009 Schadsoftware über eine Social-Networking-Seite zugeschickt bekommen haben. Das ist gegenüber 2008 ein Anstieg um 69,8 Prozent.

Noch etwas deutlicher zugenommen hat demnach der Spamversand über Facebook und Co. 2009 hat bereits mehr als die Hälfte der Nutzer deart unerwünschte Nachrichten erhalten (57 Prozent). “User verbringen immer mehr Zeit auf Social Networks und teilen dort vertrauliche und wertvolle persönliche Informationen. Die Hacker haben herausgefunden, wo Geld zu machen ist”, meint Graham Cluley, Senior Technology Consultant bei Sophos. Die Beliebtheit der sozialen Webangebote als Angriffsziel birgt dabei nicht nur für Privatanwender ernsthafte Gefahren.

Risiken für Unternehmen
Einer Sophos-Umfrage unter mehr als 500 Unternehmen zufolge machen sich 72 Prozent der Betriebe Sorgen, dass das Verhalten der Mitarbeiter auf sozialen Netzwerken auch Risiken für das Unternehmen mit sich bringt. Die Nutzung gerade von Facebook wird aber immer seltener eingeschränkt, da sie Teil des modernen Geschäftslebens ist. Dabei erachten sechs von zehn Befragten diese Seite als größtes Risiko. “Man darf nicht vergessen, dass Facebook das mit Abstand größte Social Network ist. Im größten Obstgarten gibt es klarerweise auch die meisten faulen Äpfel”, meint dazu Cluley.

Das Facebook-Team arbeite hart im Kampf gegen Bedrohungen, doch könnten teils einfache Änderungen den Nutzern mehr Sicherheit bieten. Die vielkritisierten Änderungen an den Privateinstellungen bezeichnet Cluley explizit als Rückschritt. Gerade Datenschutz ist aus Unternehmenssicht ein gewichtiges Problem an sozialen Netzwerken. Sophos verweist diesbezüglich darauf, dass Hacker gerade über das vermeintlich harmlose Business-Netzwerk LinkedIn Hackern umfangreiche Informationen zu Mitarbeitern und Hierarchie in einem Unternehmen gewinnen könnten.

Cyberkriminelle haben sich die Bankenkrise zunutze gemacht, um besorgte US-Sparer um wertvolle Account-Zugangsdaten zu bringen. Dazu verschicken sie derzeit Spam-E-Mails, die von der staatlichen Einlagensicherung Federal Deposit Insurance Corporation (FDIC) zu kommen scheinen. Sie verunsichern User mit der Information, dass nun auch die Bank ihres Vertrauens in die Pleite geschlittert sei.

Der Besuch der gefälschten FDIC-Webseite und der Download einer angeblichen Informationsdatei zum eigenen Versicherungsstand handelt Usern eine Version der Malware “Zeus” ein, wie diverse Sicherheitsexperten warnen. Diese stiehlt unter anderem Zugangsdaten für Bank- und Social-Network-Accounts.

Profi-Look
Die Kampagne ist professionell aufgezogen. “Die Cyberkriminellen hinter dieser Spam-Kampagne haben viel auf sich genommen, um Logos und Aussehen von FDIC-Nachrichten nachzuahmen”, meint Gary Warner, Computerforensiker an der University of Alabama in Birmingham. Die FDIC selbst hat angesichts dieser betrügerischen E-Mails bereits eine Warnung an Banken-CEOs herausgegeben.

Die Kampagne verspricht gute Profite für die Hintermänner, da mit der FDIC als Aufhänger jeder US-Sparer potenziell darauf hereinfallen könnte. “Die Social-Engineering-Tricks werden in dieser Hinsicht immer besser”, bestätigt Yuval Ben-Itzhak, CTO beim Sicherheitsspezialisten Finjan. Er verweist auch auf Spam-Kampagnen, die von Steuerbehörden, Gerichten oder IT-Administratoren zu stammen scheinen und somit eher Opfer finden als dilettantische Fälschungen oder Mails, die angeblich von einer bestimmten Kleinbank stammen.

Verseuchtes Web
E-Mails sind heute freilich nur noch bedingt von Bedeutung für die Malware-Verbreitung. “Die meisten Infektionen erfolgen heutzutage durch infizierte Webseiten”, betont Ben-Ithzak. In solchen Fällen genügt oft der bloße Besuch einer von der Malware unterwanderten Seite, um sich völlig unbemerkt mit Malware zu infizieren. Dieser Verbreitungsmechanismus sei auch bei dem von Finjan beobachteten Banken-Supertrojaner, der in Deutschland gewütet hat, letztendlich wichtiger gewesen.

Keylogger vor dem aus
“Die FDIC-Kampagne propagiert offenbar einen relativ normalen Bot”, meint Ben-Itzhak. Denn es kommt ein Keylogger zum Einsatz, um damit Zugangsdaten für Online-Accounts zu stehlen. Auch damit ist die Attacke nicht unbedingt auf dem letzten Malware-Stand – denn die Zukunft gehört wohl Programmen wie dem Banken-Supertrojaner.

“Ein großer Unterschied ist, dass diese dritte Bot-Generation keine Tastenanschläge aufzeichnet, sondern die Online-Banking-Sessions selbst kapert”, erklärt der Finjan-CTO. Das eröffnet der Schadsoftware neue Möglichkeiten, wie eben direkt auf dem infizierten PC automatisch zu entscheiden, wie viel Geld beim Online-Banking abgezweigt werden soll.

Die in dieser Woche veröffentlichten Microsoft Security Essentials haben in einem ersten Test des Magdeburger Labors AV-Test zumindest in Sachen signaturbasierter Erkennung überzeugen können. Auf einem Windows-XP-System wurden von über einer halben Mio. Malware-Samples 98,44 Prozent erkannt – ein sehr guter Wert. “Für einen Grundschutz sind die Security Essentials durchaus tauglich”, urteilt AV-Test-Geschäftsführer Guido Habicht. Allerdings hat das Gratis-Produkt offenbar auch eine entscheidende Schwachstelle. Laut AV-Test scheint es keine dynamischen, proaktiven Erkennungsmechanismen für neue Malware zu geben – obwohl genau das im modernen Web sehr wichtig wäre.

Über 30.000 neue Malware-Samples sieht AV-Test täglich, so Habicht. Bei dieser Menge neuer Schadsoftware sei es utopisch, dem mit Signaturen beikommen zu wollen – dass Microsofts Dynamic Signature Service schnell genug reagieren könne, sei nicht vorstellbar. “Aufgrund der Malware-Flut wäre ein verhaltensbasierter Schutz für die meisten Nutzer absolut notwendig”, betont der Experte. Solch eine dynamische Erkennung fehlt den Security Essentials jedoch. Im AV-Test-Versuch mit einigen brandneuen Malware-Samples konnte das Programm kein einziges aufgrund des verdächtigen Verhaltens erkennen. Dieses Problem teilt das Microsoft-Produkt den Testern zufolge zwar mit anderen reinen AV-Programmen. Das ändert jedoch nichts daran, dass die Security Essentials nicht unbedingt ausreichenden Schutz für Web-aktive Nutzer bieten dürften. “Da müsste Microsoft schon bei der proaktiven Erkennung nachlegen”, meint Habicht. Microsoft-Sprecher Gerhard Göschl betont auf Nachfrage, dass die Security Essentials für Microsoft aber nicht einfach als Standalone-Produkt, sondern als Teil einer umfassenderen Sicherheitsstrategie im Zusammenspiel mit anderen Programmen wie dem Windows Defender zu sehen sind.

Dennoch begrüßt man bei AV-Test Microsofts AV-Vorstoß – nicht zuletzt, da das Produkt die Experten in anderen Bereichen sehr wohl überzeugen konnte. Neben der guten signaturbasierten Erkennung war speziell der Umgang mit Rootkits beeindruckend. Solche Programme dienen dazu, Infektionen eines Systems zu verschleiern. In einem Test mit insgesamt 25 Rootkits konnten die Security Essentials diese allesamt erkennen und entfernen. Die Scangeschwindigkeit ist laut AV-Test zwar nicht überragend, aber im Vergleich zu anderen Produkten in Ordnung. Nicht ganz so erfreulich waren die Resultate beim Säubern eines infizierten PCs. Zwar konnte die Software alle Test-Infektionen bereinigen, jedoch nicht alle Spuren der Infektion beispielsweise in der Registry korrekt beseitigen.

Forscher der Security-Firma Finjan sind einem neuen Supertrojaner auf die Spur gekommen, der es insbesondere auf die Bankdaten und das Geld seiner Opfer abgesehen hat. Dabei geht die auf dem Toolkit LuckySpoilt basierende Malware “URLzone” so gevieft vor, nur einen gewissen Prozentsatz des auf einem Konto befindlichen Vermögens zu klauen, um nicht so schnell aufzufallen. Zusätzlich klinkt sie sich beim Online-Banking in den Browser ein und zeigt falsche Kontostände an, um den User in Sicherheit zu wiegen. Der Bank-Trojaner, der im übrigen auch in anderen Web-Accounts wie PayPal, Gmail und Facebook herumschnüffelt, besitzt Funktionen, die eigens dafür entwickelt wurden, Security-Software zu täuschen.

“Es handelt sich um einen Bank-Trojaner der nächsten Generation. Das ist Teil des neuen Trends, immer fortschrittlichere Malware zu programmieren, die für das Austricksen von Sicherheitssystemen optimiert ist”, sagt Ben Itzhak von Finjan. Auch der Sicherheitsexperte Toralv Dirro von McAfee stimmt ihm zu. “Der Trend geht eindeutig hin zu aufwändigeren Trojanern. Kriminelle Gruppen entwickeln das ganz gezielt weiter, heute arbeitet eine ganze Reihe von Trojanern so wie der Beschriebene. Man kann das als eine Art Wettrüsten zwischen den Cyberkriminellen, Banken und der Sicherheitsindustrie interpretieren”, sagt Dirro.

Zielgruppe des Trojaners waren die Kunden einiger deutscher Banken, die man vonseiten Finjans nicht nennen wollte. Insgesamt wurden mithilfe des Trojaners rund 300.000 Euro erbeutet. “Das halte ich noch für relativ wenig Beute, was wahrscheinlich an der relativ geringen Zahl der Infektionen lag. Normalerweise werden aber auch keine Informationen über die Höhe des finanziellen Schadens bekannt gegeben”, so Dirro. Die Server, von der die Malware gesteuert wurde, konnten in der Ukraine lokalisiert werden. “Das läuft über sogenannte Bulletproof-Hoster. Die gibt es weltweit. Sie sind teurer als andere Hoster und lassen ihre Kunden dafür hosten, was sie wollen. Sie behaupten, der Inhalt der Server sei Sache der Kunden und gehe sie nichts an”. Die deutschen Behörden sein bereits informiert worde sagt der Experte.

Die Security-Experten schafften es, die Kommunikation des Trojaners auf einem infizierten System abzuhören und auf diese Art den Kommandoserver aufzuspüren. Diesen hatten die Cyberkriminellen unvorsichtigerweise nicht ausreichend gesichert, wodurch die Security-Experten allerlei Daten über den Trojaner beschaffen konnten, darunter auch Statistiken zu den Infektionen. Insgesamt sollen rund 90.000 Computer die Seiten, auf denen der Schädling gehostet war, besucht haben. Davon infizierten sich 6.400 mit der Malware – eine Erfolgsquote von 7,5 Prozent. Von ein paar hundert der infizierten Computer wurde tatsächlich Geld gestohlen, insgesamt etwa 300.000 Euro. Nach 22 Tagen verschwand der Trojaner Ende August wieder – offenbar hatten die Cyberkriminellen bemerkt, dass man ihnen auf der Spur war.

Infiziert wurden die Computer auf zwei verschiedene Methoden. Zum einen erhielten Opfer E-Mails, in denen Links enthalten waren, die sie auf eine zur Verbreitung des Trojaners erstellte Website lotsten. Die zweite Möglichkeit, sich den Trojaner einzufangen, war der Besuch von durch die Malware unterwanderten Internetseiten. So oder so, der Schädling nutzte eine bekannte Sicherheitslücke in gängigen Internetbrowsern aus, um sich auf der Festplatte des Opfers einzunisten und dort bis zum Aufruf der Internetseiten der Zielbanken in eine Art Schläfermodus zu verfallen. Startet der Nutzer den Online-Banking-Dienste, wird die Malware aktiv. Sie kapert den Browser, analysiert den Kontostand, ermittelt einen Betrag, der ohne großes Aufsehen entwendet werden kann und überweist diesen auf das Konto eines Strohmanns, der einen kleinen Anteil an den erbeuteten Summen erhält. Anschließend wird der vom Nutzer beim Besuch der Banken-Website eigentlich erwartete Kontostand eingeblendet, wodurch dieser keinen Verdacht schöpft – zumindest solange er sich für seine Bankgeschäfte ausschließlich auf dem infizierten Computer anmeldet. Die Verwendung von Strohmännern scheint bei derartigen Angriffen gängige Praxis zu sein. “Diese sogenannten Mules sind ebenfalls Opfer. Das sind Leute, die auf dubiose Jobangebote als Finanzagent reinfallen. Sie werden in den meisten Fällen erwischt und wegen Geldwäsche angezeigt”, weiß Dirro. Den Hintermännern ist freilich sehr viel schwerer beizukommen.