Verknüpfung von Foto und Kontaktdaten:
Koobface weiß, wie Sie aussehen

von Werner Veith (werner.veith@networkcomputing.de)

Share
15.10.2009

Über Malware »Koobface« für Social-Networks sind wieder ein paar ernüchternde Details ans Licht gekommen. Der Wurm erfasst etwa nicht nur alle Kontaktdaten, sondern entwendet auch das zugehörige Photo. Der infizierte Rechner stellt auch gefälschte Facebook-Webseiten bereit, auf die andere zugreifen.

Der Wurm »Koobface« entwickelt sich gerade zu einer Erfolgsstory im negativen Sinne. Es ist nicht das erste Mal, das Network Computing darüber berichtet [1]. Jetzt gibt es wieder ein paar ernüchternde Details, die die Gefährlichkeit des Wurms erneut unterstreichen. Virenforscher von Trend Micro [2] haben ihre aktuellen Erkenntnisse in dem Bericht »The Heart of KOOBFACE, C&C and Social Network Propagation [3]« veröffentlicht. Die Malware erfasst nicht nur die persönlichen Daten aus Facebook-, MySpace- oder Twitter-Profilen. Sie stiehlt auch das dort abgespeicherte Foto. Dies erleichtert es etwa, Karten zu fälschen, die zum Schutz vor Missbrauch mit einem Bild versehen sind. Hat die Koobface-Gang erst einmal ein Bild, kann sie über Googles Bildersuche relativ gut und automatisch weitere im Internet finden.

Mit Hilfe der Komponente »GCHECK« prüft Wurm »Koobface« vor dem Versenden von Spam-Links, ob Facebook diese schon blockiert hat.

Da in den Social-Networks die Kontaktdaten gut sortiert abgelegt sind, wissen die Cyber-Gangster eine Menge über den Bestohlenen. Dazu gehören Name, Adresse, Telefonnummer, E-Mail-Adresse, Verbindungen zu Unternehmen oder Universitäten und den Arbeitsplatz. Zusammen mit dem Foto ist dies eine Menge Material, um es gewinnbringend weiterzuverkaufen oder es selbst für weitere Angriffe auszuschlachten.

Hat der Nutzer einen Koobface-Wurm auf seinem Rechner, wird er nicht nur bestohlen. Zudem wird sein Computer zu einem Teil des weltweiten Koobface-Netzes. Dies geschieht dadurch, dass die Malware einen Web-Server installiert. Dieser erzeugt nun gefälschte Facebook- oder YouTube-Webseiten, auf die wieder andere Nutzer gelockt werden. Für Unternehmen ist dies sicher keine gute Sache, als Host für Malware-Websites zu dienen. Der Web-Server arbeitet auch als Proxy, um Anfrage an andere infizierte Rechner oder das Command & Control-Center weiterzuleiten. Ersteres hilft etwa die Aktivitäten von Koobface zu verschleiern.

Koobface nutzt die Social-Networks auch, um Spam-Links zu versenden. Facebook hat daher einen Filter implementiert, der den Versand von bekannten Spam-URLs verhindert. Die Cyber-Gangster haben darauf mit der Koobface-Komponente »GCHECK« reagiert. Gcheck testet nun den Facebook-Filter mit Spam-URLs und meldet das Ergebnis an das zugehörige Command & Control-Center zurück. So können die Gangster die Koobface-Installationen instruieren, welche Links möglich sind. Damit haben die Cyber-Gangster die Facebook-Sicherheitsfunktion in ihr Gegenteil verkehrt.

Auch Google kommt nicht ungeschoren davon. Die »Blogspot«-Komponente erzeugt automatisch Blogger-Profile bei Googles Service »blogspot.com«. Dazu wird zuerst ein Account bei Google eingerichtet. Die zugehöirge Captcha-Schutzfrage wird an andere Koobface-infizierte Rechner geschickt, und den davor sitzenden Anwendern unter einem bestimmten Vorwand zur Lösung vorgelegt. Über den Google-Account wird ein Google-Blogger-Profile erzeugt und ein Blog-Template mit einem Skript versehen.

Koobface-Blogspot sucht sich Headlines von Google-News. Dank des Skripts verweist der Blogeintrag auf eine Koobface-Redirector-URL. Da Nutzer oft nach den aktuellsten Nachrichten suchen, gelangen sie auch auf diese betrügerischen Blog-Einträge. Auf diese Weise lassen sich viele Blogs mit Spam-URL-Einträgen bei Google erzeugen.

[1] einblick-in-koobface-perfekt-fuer-angriffe-auf-social-networks/
[2] http://de.trendmicro.com/de/home/
[3] http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/the_20heart_20of_20koobface_final_1_.pdf

Verwandte Artikel