Malware: Koobface lernt »sehen«

von Lars Bube (lars.bube@crn.de), Werner Veith

Share
16.10.2009

Die jüngsten Angriffe zeigen, dass der Internet-Wurm Koobface erneut um eine Evolutionsstufe ausgebaut wurde. Jetzt kann der Schädling nicht mehr nur die Daten klauen, sondern sie auch gleich noch mit dem passenden Photo verbinden und sogar selbst gefälschte Facebook-Seiten als Phishing-Falle erstellen.

Koobface klaut jetzt auch die zugehärigen Fotos zu Datensätzen aus sozialen Netzwerken.

Der speziell auf soziale Onlinenetzwerke zugeschnittene Wurm Koobface (siehe »Koobface: Malware-Baukasten für Angriffe auf Social Networks [1]«) wird immer gefährlicher und erfolgreicher bei seinen perfiden Aktivitäten. Wie die Virenforscher aus den Labors von Trend Micro [2] in ihrem Report »The Heart of KOOBFACE, C&C and Social Network Propagation [3]« ausführen, begnügt sich der Wurm in seiner jüngsten Ausbaustufe nicht mehr damit, »nur« die persönlichen Daten aus Facebook-, MySpace- oder Twitter-Profilen zu klauen. Vielmehr hat Koobface inzwischen auch das Sehen gelernt und stürzt sich nun auch auf die Fotos seiner Opfer. Indem die Hintermänner von ihrem schmutzigen Werkzeug sowohl die Daten als auch das dazu passende Bild geliefert bekommen, können sie jetzt wesentlich leichter Identifikationskarten fälschen, die ein Bild als zusätzliches Sicherheitsmerkmal enthalten. Außerdem ermöglicht es den kriminellen Elementen, über die Google-Bildersuche schnell und einfach weitere Bilder und Seiten des Opfers ausfindig zu machen.

Mit dieser Erweiterung können die Cybergangster nun einen gefährlich genauen Datensatz zu jedem Opfer zusammensammeln. Neben Name, Telefonnummer, Email-Adresse, Bild und Co, bekommen sie aus den Profilen meist auch gleich noch Informationen zum beruflichen Werdegang und der aktuellen Beschäftigung. So ausgiebige Profile lassen sich hervorragend für gezielte Phishing-Aktionen einsetzen und erzielen daher auch Höchstpreise unter den illegalen Datenhändlern im Netz.

Mehr als nur beklaut

Mit Hilfe der Komponente »GCHECK« prüftKoobface vor dem Versenden von Spam-Links, ob Facebook diese schon blockiert hat.

Doch selbst mit diesem umfassenden Datenklau ist der Spuk für Nutzer noch lange nicht vorbei, die sich die fiese Malware eingefangen haben. Gleichzeitig wird ihr Rechner nämlich auch noch in das weltweite Koobface-Netzwerk eingegliedert, indem die Malware einen Web-Server installiert. Dieser erzeugt wiederum selbst neue gefälschte Facebook- oder YouTube-Webseiten, um damit weitere Nutzer in die Falle zu locken. Dabei arbeitet der Webserver auch als Proxy, um die eigenen aktivitäten zu verschleiern und Anfragen an andere infizierte Rechner oder das Command & Control-Center weiterzuleiten. Gerade für Unternehmen ist dieser Schritt genauso gefährlich wie der reine Datenklau – denn als Host für Malware-Websites zu dienen kann für sie äußerst unangenehme Konsequenzen haben.

Da Koobface die Social-Networks auch benutzt, um Spam-Links zu versenden, hat etwa Facebook inzwischen einen Filter integriert, der den Versand von bekannten Spam-URLs verhindert. Doch kaum war die Technik implementiert, schon kamen die Cybergangster wieder mit einer neuen Variante namens »GCHECK«, die den Facebook-Filter mit Spam-URLs testet, und das Ergebnis an das zugehörige Command & Control-Center meldet. Durch diese genaue Aufstellung über gesperrte und offene Links können die Hintermänner den Wurm entsprechend genau instruieren und somit das Sicherheitsfeature ins Gegenteil umkehren.

Auch Google bleibt nicht verschont

Neben den sozialen Netzwerken hat inzwischen selbst Google schwer mit Koobface zu kämpfen. Nach der Einrichtung eines Accounts bei Google erzeugt die Malware automatisch Blogger-Profile bei Googles Service »blogspot.com«. Hinterlistig sendet Koobface dabei die zugehöirge Captcha-Schutzfrage für die Anmeldung an andere mit Koobface infizierte Rechner, damit deren Besitzer die angezeigten Zeichen unter einem Vorwand eingeblendet bekommen und sie ins Lösungsfeld eingeben.

Anschließend wird über den Google-Account ein Blogger-Profil erzeugt und ein Blog-Template mit einem Skript versehen. Dann sucht sich Koobface-Blogspot Headlines von Google-News für den Blog, die mittels des Skripts auf eine Koobface-Redirector-URL umgeleitet werden. Nutzer, die nach aktuellen Nachrichten suchen, geraten damit in Gefahr, auf die betrügerischen Blog-Einträge reinzufallen und ebenfalls Opfer von Koobface zu werden.

[1] http://crn.de/showArticle.jhtml?articleID=219200317
[2] http://de.trendmicro.com/de/home/
[3] http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/the_20heart_20of_20koobface_final_1_.pdf

Verwandte Artikel