Angriff über Fotos bei Facebook

Seit einigen Tagen beobachten die G Data SecurityLabs im sozialen Netzwerk Facebook eine Kampagne, die es sich zum Ziel setzt, möglichst viele Facebook-Nutzer mit Schadcode zu infizieren. Massenhaft posten die Täter in der Community Links zu vermeintlichen Fotos. Statt des versprochenen Bildes, findet im Hintergrund eine Infektion des Computers statt. Anschließend versuchen die Täter an alle Kontakte des Facebook-Nutzers einen Hyperlink zum Datei-Hoster Sendspace zu senden, um so weitere Rechner per Mausklick zu infizieren.

Getarnter Schadcode

Die angezeigte URL gibt keinerlei Information darüber, welche Art von Datei sich dahinter verbirgt, sie wirkt zufällig generiert. Nach dem Herunterladen erweckt die Datei zunächst den Anschein, ein Bild zu sein – zumindest suggeriert dies das angezeigte Icon.

Ein Blick auf die wahre Dateierweiterung zeigt jedoch, dass es sich tatsächlich um einen Bildschirmschoner handelt, welcher durch die Dateiendung .SCR gekennzeichnet ist und eine ausführbare Datei ist. Die Dateierweiterung wird jedoch in den gängigen Microsoft Windows Versionen nicht automatisch angezeigt und so werden ahnungslose Nutzer durch diese Täuschung schnell dazu verleitet, das vermeintliche Bild anzuklicken.

Beim Doppelklick auf die Datei bekommt der Nutzer natürlich kein Bild zu sehen; es passiert augenscheinlich gar nichts. Doch ein Blick in den Prozessmonitor verrät, dass sehr wohl etwas vor sich geht: Die unscheinbare .SCR-Datei entpuppt sich als ausführbare Schadcode-Datei. Die Angreifer haben ihren Schadcode von .EXE in .SCR umbenannt, um neben dem Icon eine weitere Tarnung zu erreichen – diese Umbenennung hat keinen negativen Einfluss auf die Ausführbarkeit der Datei.

GData erkennt die beschriebene Malware als Backdoor.

Die Schadfunktionen

Die aktuelle Schaddatei hat einerseits Bot-Funktionalität; sie hat das IRC Protokoll eingebettet, um sich mit vorgegebenen Log-in-Daten automatisch in einen festgelegten Chatraum einzuklinken und dort auf Befehle und Updates des Botmasters zu warten.

Andererseits besitzt die Datei auch Eigenschaften eines Wurms. Die Wurmfunktionalität ist für das Verbreiten der Schaddatei eingebaut worden. Auch wenn die Basiseigenschaften eines Wurms im Programmcode vorbereitet sind, sind noch keine expliziten Aktionen und Ziele implementiert. Diese können aber durch die IRC-Anbindung jederzeit nachgeladen werden.

Aber damit nicht genug: Die Datei verfügt außerdem über die Möglichkeit schädliche autorun.inf Files zu erstellen und sie auf portable Geräte (USB Stick, Multimedia Festplatte) zu spielen.

Im Programmcode wurde kein Code identifiziert, der direkt auf eine Weiterverbreitung der Schadcode-Datei, bzw. der Links dazu, in Facebook hinweist. Da es sich aber um einen IRC-basierten Bot handelt, kann dieser jederzeit Befehle dazu erhalten oder neue Schaddateien herunterladen, die diese Aufgabe erledigen.

Seit Beginn der Kampagne wurde die Datei mindestens einmal einem Update unterzogen und mit veränderten Packern komplizierter gepackt, um das Erkennen des Files mittels AV- Software zu erschweren. Außerdem wurde der Dateiname geändert.
Die Angreifer können jederzeit einen anderen Datei-Hoster für die Verteilung ihrer Schaddateien benutzen und auch die Schaddatei selbst können sie jederzeit austauschen, um die Opfer mit einer anderen Art von Malware zu infizieren.

Facebook Tipps

  • Benutzen Sie eine aktuelle und umfassende Sicherheitslösung mit einem Virenscanner, Firewall, Web- und Echtzeitschutz. Ein Spam-Filter, als Schutz vor ungewollten Spam-Mails ist ebenfalls sinnvoll.
  • Lassen Sie sich die Dateierweiterungen in ihrem Microsoft Windows Betriebssystem anzeigen. Anleitungen für die verschiedenen Versionen und auch ein Fix-it gibt es auf der Microsoft Webseite „Anzeigen oder Ausblenden von Dateierweiterungen im Windows-Explorer“.
  • Links und Dateianhänge in E-Mails und auch in sozialen Netzwerken sollten nicht unbedacht angeklickt werden. Die Dateien oder die Webseite könnten mit Schadcode verseucht sein. Wenn eine Nachricht eines Freundes merkwürdig erscheint, sollten Anwender sich rückversichern, ob diese echt ist.
  • Anwender sollten nicht gleichzeitig surfen, wenn sie bei Diensten, wie sozialen Netzwerken angemeldet sind. Cyber-Betrüger könnten die Sitzung manipulieren.
  • Nach der Nutzung von Diensten, wie sozialen Netzwerken sollten sich Anwender immer abmelden. Dies gilt gerade dann, wenn ein öffentlicher Computer, z.B. in einer Bibliothek genutzt wird, aber auch am heimischen Rechner ist es sinnvoll.

(Quelle: G Data, Pressemitteilung)

(c) Michael Voß, www.michael-voss.de

Schreibe einen Kommentar