Krypto e.V.

Das FBI hat bekannt gegeben, dass in den USA Anklage gegen drei Männer erhoben wird, die den zuständigen Ermittlern zufolge Nutzern weltweit mehr als 100 Mio. US-Dollar mit Scareware abgeknöpft haben. Das ist eine Form des Betrugs, bei der mit den Ängsten der Nutzer gespielt wird, um sie um ihr Geld zu erleichtern. Im konkreten Fall waren es angebliche Scanner, die das Finden von Fehlern oder Viren im System vorgaukeln. Damit wurde den Nutzer angebliche Programme zur Problemlösung angedreht.

Diese Taktik zählt laut FBI zu den “schnellst wachsenden und gängigsten Formen des Internet-Betrugs”. Das hängt sicherlich mit den enormen Profiten zusammen, die solche Machenschaften versprechen. Denn die Schadensumme, die den Angeklagten vorgeworfen wird, ist noch relativ gering. Trend Micro kommt in einer aktuellen Analyse zum Schluss, dass eine auf falsche Antiviren-Software (Fake-AV) spezialisierte Online-Gang jährlich 180 Mio. US-Dollar einnimmt.

Falsche Anzeigen, falsche Hilfsprogramme
Das Trio aus zwei US-Bürgern und einem Schweden war dem FBI zufolge an einem Betrug beteiligt, bei dem Nutzer mithilfe falscher Online-Werbung auf von den Cyber- Kriminellen kontrollierte Webseiten umgeleitet wurden. Popups, die wie Systemmeldungen aussehen, spielen dem Nutzer vor, dass ein Systemscan auf kritische Fehler oder Malware gestoßen ist. Damit wurden Anwender gedrängt, die angeblichen Hilfsprogramme der Betrüger zu kaufen, um so die angeblichen Probleme zu beseitigen.

Der Anklage zufolge haben die Cyber-Kriminellen auf diese Art Nutzern in gut 60 Ländern über eine Mio. nutzlose Software-Produkte andreht und den Geschädigten dabei 30 bis 70 US-Dollar pro Programm entlockt. Doch auch Internet-Unternehmen, welche die angeblichen Anzeigen geschaltet haben, wurden geschädigt. Denn die Scareware-Bande hat sie den Ermittlern zufolge dafür nie bezahlt. Die wenigstens 85.000 Dollar an vorenthaltenen Entgelten sind allerdings ein Klacks im Vergleich zum Schaden durch den eigentlichen Scareware-Betrug.

Riesige Schattenindustrie
Scareware ist ein beliebter Gauner-Trick. Gerade Fake-AV ist einer Google-Schätzung zufolge bereits für mehr als die Hälfte aller verseuchten Werbeanzeigen verantwortlich. Andere Spielarten umfassen beispielsweise die im Frühjahr erstmals beobachteten Copyright-Scanner, welche Nutzer mit Urheberrechts-Klagen wegen Filesharing drohen.

Wenn dem Nutzer bei einem Scareware-Betrug nur Geld abgenommen wird, kann er sich noch glücklich schätzen. Denn wer beispielsweise ein falsches AV-Programm erwirbt, handelt sich oft einen echten Schädling ein. In untersuchten Fall wurden Nutzer via Botnet mit dubioser Werbung überschwemmt, was Teil des Schatten-Geschäftsmodells war. Den Log-Dateien eines Kontrollservers der Bande zufolge hat allein dieser Server über solche Werbe-Impressionen 25.000 US-Dollar pro Tag erwirtschaftet. Doch die Kriminellen dürften eine Vielzahl entsprechender Botnetze betreiben.

Raubkopien-Warnung mit Sprachwahl als Filesharer-Erpressung (Foto: F-Secure)

Die Antiviren-Experten von F-Secure haben einen Trojaner beobachtet, der Nutzer mit angeblich entdeckten Filesharing-Raubkopien auf ihrem Rechner erpresst. Wer nicht reumütig 400 Dollar für eine außergerichtliche Einigung zahlt, wird dabei mit einer Klage wegen dem Copyright-Verstoß bedroht. Dabei setzt der Schädling nicht nur auf die vorgespiegelte Seriosität der angeblichen Rechtsanwaltskanzlei “ICPP Foundation”, sondern auch auf das Service mehrsprachiger Informationen.

Zwar sind betrügerische Tricks, bei denen Cyberkriminelle Nutzer erst verunsichern und letztendlich zu einer unnötigen Zahlung veranlassen wollen, nichts neues. “Mir war aber bisher kein Erpressungs-Trojaner untergekommen, der Copyright-Verletzungen als Druckmittel nutzt”, betont Mikko Hyppönen von F-Secure.

Filesharing-Klagen als Druckmittel
Ob sich der Trojaner über Torrents oder auf anderem Weg verbreitet, ist dem Experten zufolge noch unklar. Jedenfalls sind gerade Filesharer Nutzer, auf die es die Hintermänner abgesehen haben. Denn der angebliche Raubkopien-Scanner wird natürlich fündig und droht damit, entsprechende Informationen an Rechtinhaber-Vertreter und Gerichte weiterzuleiten. Ein Strafmaß von bis zu fünf Jahren Haft und 250.000 US-Dollar Geldbuße sollen den Nutzer vom Vorteil der günstigeren Alternative überzeugen.

Die Cyberkriminellen hinter dem Trojaner spiegeln vor, mit Rechteinhaber-Vertretern wie der Copyright Alliance

oder der Recording Industry Association of America in Verbindung zu stehen. Außerdem nervt die Malware bei jedem Systemstart mit dem Verweis auf die angeblichen Copyright-Verstöße. Angesichts realer Filesharing-Urteile mit hohen Schadenersatzzahlungen entsteht so ein beachtlicher Druck auf infizierte Nutzer.

Pseudo-seriös in zehn Sprachen
Bemerkenswert ist laut Hyppönen, dass der angebliche Raubkopien-Scanner Informationen gleich in zehn EU-Sprachen, darunter auch Deutsch, bietet. Das gilt auch für eine Webseite mit angeblichen Informationen über die europäische Copyright-Rechtslage, die aus der Raubkopien-Warnung heraus aufgerufen werden kann. Die ICPP Foundation hat sogar eine eigene offiziell aussehende Webseite unter icpp-foundation.com, um den seriösen Schein perfekt zu machen.

“Ich bin sicher, dass so mancher tatsächlich zahlen wird”, meint daher Hyppönen. Das ist freilich ein großer Fehler, da die Anwaltskanzlei so falsch ist wie der Raubkopien-Scanner. Die ICPP-Foundation-Domain wurde auf einen Namen registriert, der dem Experten zufolge unter anderem schon in Zusammenhang mit dem Social-Networks-Wurm Koobface aufgetaut ist. “Zahlen Sie diesen Clowns ja nichts. Wenn Leute zahlen, wird das Problem nur größer”, mahnt daher Hyppönen.

Microsoft hat der Produktpiraterie bei Windows 7 den Kampf angesagt. Ab kommender Woche wird der Konzern ein “Windows Activation Technologies Update” anbieten, das geknackte Windows-7-Versionen aufspürt. Die Aktualisierung wird anfangs mehr als 70 bekannte Aktivierungs-Exploits erkennen, so Joe Williams, Microsoft General Manager für Genuine Windows, im offiziellen Windows-Blog.

Einmal mehr betont Microsoft im Zusammenhang mit dem Kampf gegen Produktpiratrie, dass dieser letztendlich auch dem Schutz der Kunden vor potenziellen Gefahren dienen soll. Williams verweist in diesem Zusammenhang auf eine Studie des deutschen Antipiraterie-Unternehmenes Media Surveillance , nach der knapp ein Drittel der online verfügbaren Windows-7-Raubkopien virenverseucht sind.

Immer öfter schädliche Raubkopien
Das Argument für die Suche nach Raubkopien ist das mit illegalen Kopien verbundene Risiko. Williams verweist auf eine IDC-Studie von Oktober 2006, nach der damals eine von vier Webseiten, die illegale Kopien anbieten, beim Download unerwünschte oder gefährliche Software zu installieren versucht. Diese Rate sei im Ansteigen, denn nach der Media-Surveillance-Studie hätten von über 500 Windows-7-Raubkopien 32 Prozent Schadcode enthalten.

Freilich hatte Microsoft im August vergangenen Jahres unter Verweis auf die gleiche IDC-Studie noch betont, dass 43 Prozent aller illegalen Downloads verseucht seien. Insofern scheint durch die neuere Studie eher die damals von einem AV-Experten geäußerte Vermutung, dass professionelle Raubkopierer durchaus auf ihren Ruf achten und tendenziell eher saubere Software anbieten werden, bestätigt.

Sanfterer Antipiraterie-Kampf als bei Vista
Das Windows Activation Technologies Update wird für alle Versionen von Windows 7 angeboten. Sofern es Exploits entdeckt, bietet das System eine Problembehebung an, welche die Integrität des Betriebssystems sichern soll. In weiter Folge wird das System immer wieder mit neu entdeckter Hacks aktualisiert. Sofern eine Aktivierung als nicht echt erkannt wird, wird der User mit optischen Mitteln darauf hingewiesen. Funktionelle Einschränkungen des Betriebssystems, wie sie der “Reduced Functionality Mode” von Windows Vista für Raubkopien bedeutet hat, drohen aber laut Williams nicht.

Das Aktivierungs-Update ist ab 16. Februar zunächst über die Microsoft-Webseite verfügbar. In weiterer Folge wird es auch über Windows Update als “wichtige” Aktualisierung angeboten. “Ich möchte betonen, dass das Update freiwillig ist. Man kann sich gegen die Installation entscheiden, wen es auf Windows Update erscheint”, sagt Williams. Auch das ist zumindest vorerst ein weniger scharfes Vorgehen als bei Windows Vista. Dort war eine Erkennung bekannter Aktivierungs-Exploits in das Service Pack 1 integriert und somit Teil eines letztendlich notwendigen Updates.

Kaum ist das vermeintliche Datenleck eines spanischen Kartenprozessors in den Medien publik geworden, erreicht nun eine neue Welle von gefährlichen Onlinebanking-Trojanern die heimischen PCs. Seit Mittwoch versenden Onlinekriminelle weltweit millionenfach E-Mails mit gefälschten Zahlungsaufforderungen. Die Betrüger fordern die vermeintlichen Kunden dazu auf, ihre Rechnung zu begleichen oder die Zahlung mit Hilfe eines angehängten Tools zu stornieren.

Statt eines Tools installieren Anwender Trojan.Win32.Sasfis.vbw. Bei dem Computerschädling handelt es sich um einen gefährlichen Banking-Trojaner, der es primär auf Kreditkarteninformationen und Onlinebanking Log-Ins abgesehen hat. Als angebliche Absender werden die Namen großer amerikanischer Unternehmen missbraucht – unter anderem Firmen wie Microsoft, Citrix, Delta Airlines, Starbucks, Yahoo, Novell, Black & Decker und Avis.

Nach erfolgreicher Installation nimmt Trojan.Win32.Sasfis.vbw Kontakt zu mehreren Servern in der Ukraine und den USA auf, um dort Informationen abzulegen und um weitere Schadprogramme zu laden. Security Experte Ralf Benzmüller meint, “Wir stufen den aktuell entdeckten Schädling als besonders gefährlich ein. Die Masche der Betrüger passt perfekt zu den aktuellen Geschehnissen. Die Cyberkriminellen versuchen offenbar, massiv an neue Kreditkarten und Banking-Informationen zu gelangen. Wir können nur allen Empfängern raten, sich durch diese falschen Rechnungen nicht täuschen zu lassen und unter keinen Umständen das angehängte Programm zu installieren.”

Vorgehensweise der Täter
Per E-Mail erhalten vermeintliche Kunden eine Zahlungsaufforderung im Auftrag bekannter Unternehmen, wie beispielsweise Microsoft, NBC Universal, Black & Decker, Steinway & Sons, Delta Airways, Avis oder Jones Soda Co..

Für eine Stornierung der Zahlung oder des gesamten Vorgangs ist ein entsprechendes Programm mit dem Namen “module.exe” als Zip-Archiv der Mail beigefügt. Statt eines Dienstprogramms installiert sich jedoch ein Trojanisches Pferd, das sich tief in das System einnistet, im Hintergrund unbemerkt Aktionen durchführt und weiteren Schadcode nachlädt. Durch das Nachladen kann Trojan.Win32.Sasfis.vbw zusätzlichen Schaden anrichten. Eine Backdoor-Funktion des Trojaners verschafft den Tätern zusätzlich Zugang zum Rechner, um diesen komplett unter ihre Kontrolle zu bringen.

Die Security Experten empfehlen allen Anwendern, E-Mails mit den genannten Eigenschaften ungelesen zu löschen und die Virensignaturen ihres Virenscanners umgehend zu aktualisieren. Generell sollten unerwartet eintreffende Mail-Anhänge von unbekannten Absendern, die angeblich Rechnungen, Zahlungsaufforderungen etc. enthalten, mit Skepsis betrachtet werden und im Zweifelsfall gelöscht werden.

Cyberkriminelle haben sich die Bankenkrise zunutze gemacht, um besorgte US-Sparer um wertvolle Account-Zugangsdaten zu bringen. Dazu verschicken sie derzeit Spam-E-Mails, die von der staatlichen Einlagensicherung Federal Deposit Insurance Corporation (FDIC) zu kommen scheinen. Sie verunsichern User mit der Information, dass nun auch die Bank ihres Vertrauens in die Pleite geschlittert sei.

Der Besuch der gefälschten FDIC-Webseite und der Download einer angeblichen Informationsdatei zum eigenen Versicherungsstand handelt Usern eine Version der Malware “Zeus” ein, wie diverse Sicherheitsexperten warnen. Diese stiehlt unter anderem Zugangsdaten für Bank- und Social-Network-Accounts.

Profi-Look
Die Kampagne ist professionell aufgezogen. “Die Cyberkriminellen hinter dieser Spam-Kampagne haben viel auf sich genommen, um Logos und Aussehen von FDIC-Nachrichten nachzuahmen”, meint Gary Warner, Computerforensiker an der University of Alabama in Birmingham. Die FDIC selbst hat angesichts dieser betrügerischen E-Mails bereits eine Warnung an Banken-CEOs herausgegeben.

Die Kampagne verspricht gute Profite für die Hintermänner, da mit der FDIC als Aufhänger jeder US-Sparer potenziell darauf hereinfallen könnte. “Die Social-Engineering-Tricks werden in dieser Hinsicht immer besser”, bestätigt Yuval Ben-Itzhak, CTO beim Sicherheitsspezialisten Finjan. Er verweist auch auf Spam-Kampagnen, die von Steuerbehörden, Gerichten oder IT-Administratoren zu stammen scheinen und somit eher Opfer finden als dilettantische Fälschungen oder Mails, die angeblich von einer bestimmten Kleinbank stammen.

Verseuchtes Web
E-Mails sind heute freilich nur noch bedingt von Bedeutung für die Malware-Verbreitung. “Die meisten Infektionen erfolgen heutzutage durch infizierte Webseiten”, betont Ben-Ithzak. In solchen Fällen genügt oft der bloße Besuch einer von der Malware unterwanderten Seite, um sich völlig unbemerkt mit Malware zu infizieren. Dieser Verbreitungsmechanismus sei auch bei dem von Finjan beobachteten Banken-Supertrojaner, der in Deutschland gewütet hat, letztendlich wichtiger gewesen.

Keylogger vor dem aus
“Die FDIC-Kampagne propagiert offenbar einen relativ normalen Bot”, meint Ben-Itzhak. Denn es kommt ein Keylogger zum Einsatz, um damit Zugangsdaten für Online-Accounts zu stehlen. Auch damit ist die Attacke nicht unbedingt auf dem letzten Malware-Stand – denn die Zukunft gehört wohl Programmen wie dem Banken-Supertrojaner.

“Ein großer Unterschied ist, dass diese dritte Bot-Generation keine Tastenanschläge aufzeichnet, sondern die Online-Banking-Sessions selbst kapert”, erklärt der Finjan-CTO. Das eröffnet der Schadsoftware neue Möglichkeiten, wie eben direkt auf dem infizierten PC automatisch zu entscheiden, wie viel Geld beim Online-Banking abgezweigt werden soll.

Forscher der Security-Firma Finjan sind einem neuen Supertrojaner auf die Spur gekommen, der es insbesondere auf die Bankdaten und das Geld seiner Opfer abgesehen hat. Dabei geht die auf dem Toolkit LuckySpoilt basierende Malware “URLzone” so gevieft vor, nur einen gewissen Prozentsatz des auf einem Konto befindlichen Vermögens zu klauen, um nicht so schnell aufzufallen. Zusätzlich klinkt sie sich beim Online-Banking in den Browser ein und zeigt falsche Kontostände an, um den User in Sicherheit zu wiegen. Der Bank-Trojaner, der im übrigen auch in anderen Web-Accounts wie PayPal, Gmail und Facebook herumschnüffelt, besitzt Funktionen, die eigens dafür entwickelt wurden, Security-Software zu täuschen.

“Es handelt sich um einen Bank-Trojaner der nächsten Generation. Das ist Teil des neuen Trends, immer fortschrittlichere Malware zu programmieren, die für das Austricksen von Sicherheitssystemen optimiert ist”, sagt Ben Itzhak von Finjan. Auch der Sicherheitsexperte Toralv Dirro von McAfee stimmt ihm zu. “Der Trend geht eindeutig hin zu aufwändigeren Trojanern. Kriminelle Gruppen entwickeln das ganz gezielt weiter, heute arbeitet eine ganze Reihe von Trojanern so wie der Beschriebene. Man kann das als eine Art Wettrüsten zwischen den Cyberkriminellen, Banken und der Sicherheitsindustrie interpretieren”, sagt Dirro.

Zielgruppe des Trojaners waren die Kunden einiger deutscher Banken, die man vonseiten Finjans nicht nennen wollte. Insgesamt wurden mithilfe des Trojaners rund 300.000 Euro erbeutet. “Das halte ich noch für relativ wenig Beute, was wahrscheinlich an der relativ geringen Zahl der Infektionen lag. Normalerweise werden aber auch keine Informationen über die Höhe des finanziellen Schadens bekannt gegeben”, so Dirro. Die Server, von der die Malware gesteuert wurde, konnten in der Ukraine lokalisiert werden. “Das läuft über sogenannte Bulletproof-Hoster. Die gibt es weltweit. Sie sind teurer als andere Hoster und lassen ihre Kunden dafür hosten, was sie wollen. Sie behaupten, der Inhalt der Server sei Sache der Kunden und gehe sie nichts an”. Die deutschen Behörden sein bereits informiert worde sagt der Experte.

Die Security-Experten schafften es, die Kommunikation des Trojaners auf einem infizierten System abzuhören und auf diese Art den Kommandoserver aufzuspüren. Diesen hatten die Cyberkriminellen unvorsichtigerweise nicht ausreichend gesichert, wodurch die Security-Experten allerlei Daten über den Trojaner beschaffen konnten, darunter auch Statistiken zu den Infektionen. Insgesamt sollen rund 90.000 Computer die Seiten, auf denen der Schädling gehostet war, besucht haben. Davon infizierten sich 6.400 mit der Malware – eine Erfolgsquote von 7,5 Prozent. Von ein paar hundert der infizierten Computer wurde tatsächlich Geld gestohlen, insgesamt etwa 300.000 Euro. Nach 22 Tagen verschwand der Trojaner Ende August wieder – offenbar hatten die Cyberkriminellen bemerkt, dass man ihnen auf der Spur war.

Infiziert wurden die Computer auf zwei verschiedene Methoden. Zum einen erhielten Opfer E-Mails, in denen Links enthalten waren, die sie auf eine zur Verbreitung des Trojaners erstellte Website lotsten. Die zweite Möglichkeit, sich den Trojaner einzufangen, war der Besuch von durch die Malware unterwanderten Internetseiten. So oder so, der Schädling nutzte eine bekannte Sicherheitslücke in gängigen Internetbrowsern aus, um sich auf der Festplatte des Opfers einzunisten und dort bis zum Aufruf der Internetseiten der Zielbanken in eine Art Schläfermodus zu verfallen. Startet der Nutzer den Online-Banking-Dienste, wird die Malware aktiv. Sie kapert den Browser, analysiert den Kontostand, ermittelt einen Betrag, der ohne großes Aufsehen entwendet werden kann und überweist diesen auf das Konto eines Strohmanns, der einen kleinen Anteil an den erbeuteten Summen erhält. Anschließend wird der vom Nutzer beim Besuch der Banken-Website eigentlich erwartete Kontostand eingeblendet, wodurch dieser keinen Verdacht schöpft – zumindest solange er sich für seine Bankgeschäfte ausschließlich auf dem infizierten Computer anmeldet. Die Verwendung von Strohmännern scheint bei derartigen Angriffen gängige Praxis zu sein. “Diese sogenannten Mules sind ebenfalls Opfer. Das sind Leute, die auf dubiose Jobangebote als Finanzagent reinfallen. Sie werden in den meisten Fällen erwischt und wegen Geldwäsche angezeigt”, weiß Dirro. Den Hintermännern ist freilich sehr viel schwerer beizukommen.