Trend Micro Malware Report für September 2008: Tankgutscheine von Obama?

Malware verbirgt sich hinter aktuellen Ereignissen; ZLOB-Netzwerk bricht zusammen
(PresseBox) (Unterschleißheim, ) Trend Micro (TSE:4704) informiert über die Entwicklung der aktuellen Bedrohungslandschaft im September 2008: Erneut wurden Anwender mit geschickt gestalteten Spam-Nachrichten konfrontiert, die sie zum Download von Malware bewegen sollten. Die Köder reichten dabei von Barack Obama und Tankgutscheinen bis zur Finanzkrise und dem bevorstehenden Dritten Weltkrieg. Positiv war dagegen der teilweise Kollaps des ZLOB-DNS-Netzwerks.

Malware-Autoren und Spammer verwenden bevorzugt aktuelle und emotionsgeladene Anlässe, um neugierige Anwender alle Vorsicht vergessen zu lassen. Im September tauchte in den USA ein Social-Engineering-Trick auf, der gleich zwei Themen kombinierte, die momentan heiß diskutiert werden: Barack Obama und die hohen Benzinpreise. Mit einer professionell gestalteten Spam-Mail werden Anwender aufgefordert, an einer Umfrage zum Präsidentschaftskandidaten teilzunehmen. Als Gegenleistung winken angeblich Tankgutscheine in Höhe von mehreren hundert US-Dollar.

Beim Anklicken des Links wird der Anwender auf eine Seite geleitet, die mit der Software "Webfetti" in Verbindung steht. Diese Toolbar-Erweiterung für Internet Browser verspricht die kostenlose Personalisierung von Webseiten. Im weiteren Verlauf werden Anwender gebeten, ein angebliches ActiveX-Object herunterzuladen. In Wirklichkeit handelt es sich um die Adware ADW.MYWEBSEARCH, die sich nach jedem Systemstart aktiviert und teilweise von anderer Malware genutzt werden kann. Anwender wurden über das Trend Micro Smart Protection Network praktisch in Echtzeit vor diesem und anderen Social-Engineering-Tricks geschützt. Sobald ein neuer Angriffsversuch auch nur ein einziges Mal entdeckt wird, blockiert das Smart Protection Network alle weiteren Attacken bei Trend Micro Kunden weltweit.

Dritter Weltkrieg und Finanzkrise

Der Konflikt zwischen Russland und Georgien tauchte bereits mehrmals in Social-Engineering-Tricks auf. Die Variante im vergangenen Monat: Per Spam-Mail wird auf ein CNN-Video verwiesen, in dem Präsident Bush angeblich den Eintritt der USA in den Konflikt erklärt. Durch die Verwendung der Adresse www.cnn.org (statt der echten www.cnn.com) und der professionellen Gestaltung der Webseite werden Anwender getäuscht. Vor dem Start des Videos wird die Installation eines ActiveX-Objekts verlangt - in Wirklichkeit handelt es sich um TSPY_BANCOS.JN. Die Malware versucht gezielt, Online-Banking-Daten und andere sensible Informationen zu stehlen.

Darüber hinaus nahmen Malware-Verbreiter letzten Monat erneut Bankkunden ins Visier: Mit Benachrichtigungen über angebliche Sicherheits-Updates sollten Kunden der amerikanischen Wachovia Bank sowie des Finanzdienstleisters Merrill Lynch getäuscht werden. Hinter dem Update verbarg sich Malware, die Angreifern unter Umständen den Fernzugriff auf Systeme erlaubt. Der Social-Engineering-Trick nutzt die Verunsicherung der Anwender, die aufgrund der Finanzkrise für Banking- und Sicherheitsthemen besonders sensibilisiert sind.

ZLOB-DNS-Netzwerk kollabiert... und erholt sich langsam wieder

Bereits im August warnte Trend Micro vor einem Netzwerk aus mehr als 900 irregulären DNS (Domain Name System) Servern, die mit der ZLOB Trojaner-Familie in Verbindung stehen und zur unbemerkten Umleitung von Webseite-Aufrufen verwendet werden. Im September brach dieses seit Jahren existierende Netzwerk plötzlich zusammen - was war passiert? Der Upstream Provider des kalifornischen Web-Hosters "Intercage" hatte den Service eingestellt und somit das Unternehmen vom Netz getrennt. Dem waren verschiedene Meldungen in renommierten Blogs vorausgegangen, laut denen Intercage zu den größten Malware-Hosts gehört. Trend Micro überwacht das ZLOB-DNS-Netzwerk kontinuierlich und konnte nach der Abschaltung von Intercage tatsächlich eine dramatische Reduktion verzeichnen: Von 1178 ZLOB-DNS-Servern auf nur noch 523. Diese erfreuliche Entwicklung wird nicht lange anhalten, denn bereits wenige Tage später begannen die Kriminellen hinter dem Netzwerk mit dem Wiederaufbau. Profitable "Geschäftsmodelle" werden von der Malware-Szene nicht so einfach aufgegeben.

Facebook-Freund stellt sich als Malware heraus

Die Nutzer der populären Social-Networking-Seite "Facebook" kommen nicht zur Ruhe: Durch eine Spam-Mail im Facebook-Design, die einen legitimen Absender aufweist und Links zur echten Facebook-Homepage enthält, werden Anwender darüber informiert, dass sie von einem Unbekannten zum Facebook-Freundeskreis hinzugefügt wurden. Im Anhang befindet sich eine Datei, die angeblich ein Foto des Unbekannten enthält. Tatsächlich handelt es sich um Malware, die Trend Micro als WORM_AUTORUN.EAT erkennt. Trend Micro Smart Protection Network verhindert schon den Empfang der gefährlichen E-Mail.

Kontakt

TREND MICRO Deutschland GmbH
Zeppelinstraße 1
D-85399 Hallbergmoos
Vera M. Sander
shortways communications
Hana Göllnitz
Trend Micro Deutschland GmbH
Social Media