Gut gerüstet für eine kriminelle Zukunft:
Einblick in Koobface: Perfekt für Angriffe auf Social-Networks

von Werner Veith (werner.veith@networkcomputing.de)

Share
11.08.2009

Mit Koobface kommt eine Malware, die ihre Konstrukteure genau auf den Einsatz in Social-Networks abgestimmt haben. Experten von Trend Micro haben sich den raffinierten Schädling genauer angesehen.

Social-Networks liegen voll im Trend. Und sie sind genau für das gemacht, was Internet-Krimelle auch tun, um Internet-Nutzer zu locken: Sie verbreiten Nachrichten an andere. Daher liegt es nahe, Social-Networks-Accounts zu infizieren, und für die eigenen Zwecke zu missbrauchen. Der Austausch von Nachrichten in Social-Networks nimmt dabei – etwa bei bestimmten Ereignissen wie der Wahl im Iran – auch ohne eine Infektion virale Züge an. Dies spielt den Krimellen in die Hände.

Allerdings gibt es ein Problem dabei: Es gibt sehr viele verschiedene Netze wie Facebook, Twitter oder MySpace. Ein Schadcode für alle würde den Rahmen sprengen. Es gibt jedoch die Malware »Koobface«, die dieses Problem erschreckend gut löst. Experten von Trend Micro [1] haben sich den Aufbau genauer angesehen [2].

Die »CAPTCHA Breakers«-Komponente von Koobface löst mit Hilfe des Anwenders auf dem infiziertem Rechner das Bilderrätsel, um das Ergebnis an anderer Stelle weiter zu verwenden.

Alles beginnt damit, dass der Nutzer eine Nachricht in seiner Social-Network-Inbox bekommt, die auf einen Link eine Website enthält, die sich als YouTube-Seite tarnt. Fällt er darauf herein, wird eine Exe-Datei mit Koobface-Downloader heruntergeladen. Damit nimmt das Verhängnis seinen Verlauf.

Der Downloader enthält nicht die einzelnen Schadfunktionen: Er ist dafür verantwortlich, dass die gewünschten nachgeladen werden. Koobface hat seine Schadfunktionen in einzelne Komponenten ausgegliedert. Diese gibt es für die verschiedene Social-Networks, eine Botnet-Integration, Datendiebstahl, Web-Search-Hijacking oder DNS-Manipulation.

Der Downloader nimmt nun Kontakt zum »Koobface Command & Control« (C&C) Kontakt auf. Dieses entscheidet, welche Komponenten nachgeladen werden sollen. Der Downloader prüft nun anhand der auf dem Rechner vorhandenen Cookies, in welchen Social-Networks sich der Anwender bewegt. Derzeit kennt Koobface Facebook, MySpace, Hi5, Friendster, myYearbook, Tagged, Bebo, Netlog, fubar und Twitter. Die Social-Network-Komponente nimmt nun von C&C Nachrichten entgegen und leitet sie ins Netzwerk weiter.

Koobface bringt aber noch ein paar fiese Möglichkeiten mehr mit. Über die Web-Server-Komponente verwandelt sich der Rechner in ein Mitglied des Botnetzes. Über den »Ads Pusher and Rogue Antivirus Installer« gelangt unter anderem verseuchte Anti-Virus-Software auf den Rechner.

Mit Hilfe des »Web Search Hijackers« fängt Koobface Anfragen an Internet-Suchmaschinen ab und leitet den User zu zweifelhaften Suchportalen um. Der »Rogue DNS Changer« sorgt dafür, dass DNS-Abfragen an einen feindlichen Server gelangen, der anstatt der den richtigen Webseiten Verweise auf Seiten mit Malware oder für Phishing liefert.

Sehr raffiniert ist auch der »CAPTCHA Breakers«. Er benutzt den User, um Captchas zu lösen. Dazu bekommt der Anwender ein Captcha, das er in einer bestimmten Zeit lösen soll, damit der Rechner nicht herunterfährt. Die »Data Stealer«-Komponente stammt von der »TROJ_LPDINCH«-Malware-Familie ab und stiehlt etwa Zugangsdaten für E-Mail, FTP oder Instant-Messaging-Applikationen.

Dank des Komponentenkonzepts lässt sich Koobface leicht an neue Social-Networks anpassen oder mit zusätzlichen Funktionen ausrüsten. Damit verbindet sich auch ein interessantes kriminelles Geschäftsfeld. Cybergangster bezahlen die Koobface-Betreiber, dass sie deren Schad-Software auf gekaperten Rechnern installieren.

[1] http://de.trendmicro.com/de/home/
[2] http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/the_real_face_of_koobface_jul2009.pdf

Verwandte Artikel