Nicht nur User scheinen auf Twitter fleissig zu zwitschern; auch Malware zwitschert kräftig mit.
Seit gestern häufen sich die Berichte über verseuchte tweets (=Beiträge von “Usern”) auf dem Social Networking Dienst twitter.com.
Laut dem Sicherheitsspezialisten Panda Security sind hunderte, wenn nicht sogar Tausende tweets auf twitter.com mit Links auf Gefährliche Webseiten bzw Malware-Domains verseucht:
Quellen:
Und tatsächlich: Klickt man die Hot Topics auf Twitter durch, kriegt man mehrere Verseuchte Tweets aufgetischt:
Die betroffenen User Profile wurden höchstwahrscheinlich automatisch generiert. Die Profile sind zu haufen mit Gefährlichen Tweets verseucht:
Was neu und gleichzeitig prekär an der Malware-Kampagne ist, ist die Tatsache, dass die verseuchten Tweets nicht direkt auf die Webseite verweist, welche schlussendlich dem User die Malware anbietet, sondern über so genannte Kurz-URL-Dienste wie z.B. tinyurl.com, tinylink.co.za, a.gd, twitloops.com etc funktionieren. Der User weiss also weder, was sich hinter diesen Kurz-URLs tatsächlich für eine URL verbirgt noch, ob diese seinen Computer gefährden kann. Klickt in unserem Fall ein Twitter-User eine solche URL an, wird er an eine Webseite weitergeleitet, welche ihm einen gefälschten Flash-Player unter jubeln will. Dabei handelt es sich jedoch nicht um den Flash-Player, sonder um einen so genannten Rogue Antivirus (auch als Rogueware bekannt, siehe Wikipedia: Rogue-Software). Ich habe jedoch auch beobachtet, dass die Kurz-URLs teilweise direkt auf eine Webseite verweist, welche einen Rogue-AV anbietet (ohne diese als Flash Update zu tarnen):
Es scheinen hunderte gefährliche Kurz-URLs bei verschiedenen Anbietern angelegt worden zu sein, welche nun auf solche Malware URLs verweisen. Bis jetzt konnte ich folgende sichten (scheint jedoch erst die Spitz des Eisberges zu sein):
24dat.com
inetnum: 82.146.48.0 – 82.146.55.255
netname: ISPSYSTEM
descr: ISPsystem at NAC
country: US
Gefäschte Flash-Player downloads:
http://91.212.132.11/promo1/get.php?aid=1470&vname=Adobe-Flash-Player-Update-pack-2009-06-04
http://78.129.166.166/promo1/get.php?aid=1470&vname=Adobe-Flash-Player-Update-pack-2009-06-04
chickstube.cn
inetnum: 82.146.48.0 – 82.146.55.255
netname: ISPSYSTEM
descr: ISPsystem at NAC
country: US
Gefäschte Flash-Player downloads:
http://91.212.132.11/promo1/get.php?aid=1470&vname=free_stream_video_player
http://78.129.166.166/promo1/get.php?aid=1470&vname=free_stream_video_player
top-pornnet.com
inetnum: 78.129.166.0 – 78.129.166.255
netname: KY-PRVT-NWRK-019231
descr: Cayman British Islands Offshore Network
country: KY
Gefälschte Flash-Player downloads:
http://top-pornnet.com/promo1/get.php?aid=1470&vname=flash_player_plugin
Der angebotene Flash-Player hat verschiedene Datei Namen. Es handelt sich jedoch scheinbar immer um die selben zwei Files (siehe MD5 hash):
File size: 1981634 bytes
MD5 : 8994aa3afc5d2d9d35c76e267137ec76
Erkennungsrate: 10/37 (27.03%)
File size: 1981634 bytes
MD5 : 8994aa3afc5d2d9d35c76e267137ec76
Erkennungsrate: 10/37 (27.03%)
File size: 1981634 bytes
MD5 : 8994aa3afc5d2d9d35c76e267137ec76
Erkennungsrate: 10/37 (27.03%)
File size: 177152 bytes
MD5 : a73e9bd7d406c6935e0fadfd7925dba6
Erkennungsrate: 9/40 (22.50%)
Gehen wir etwas genauer auf die Kurz-URLs ein: Interessant ist, dass die URL, an welche der User weitergeleitet wird, nicht fix hinter der Kurz-URL ein programmiert ist. Vielmehr verweisen die die Kurz-URLs scheinbar alle samt auf die selbe IP Adresse, welche dann schlussendlich eine Weiterleitung auf eine der obigen Webseiten macht. Dies jedoch auch nur, wenn der Browser des Users ein gewisses Kriterium erfüllt.
wget ohne User Agent:
–2009-06-04 14:10:24– http://a.gd/2524d9/
Auflösen des Hostnamen »a.gd«…. 72.52.201.204
Verbindungsaufbau zu a.gd|72.52.201.204|:80… verbunden.
HTTP Anforderung gesendet, warte auf Antwort… 302 Found
Location: http://66.199.229.253/etds/go.php?sid=43
–2009-06-04 14:10:24– http://66.199.229.253/etds/go.php?sid=43
Verbindungsaufbau zu 66.199.229.253:80… verbunden.
HTTP Anforderung gesendet, warte auf Antwort… 302 Found
Location: http://google.com/
–2009-06-04 14:10:24– http://google.com/
Auflösen des Hostnamen »google.com«…. 74.125.67.100, 74.125.45.100, 74.125.127.100
Verbindungsaufbau zu google.com|74.125.67.100|:80… verbunden.
wget mit MS IE User Agent:
–2009-06-04 14:15:02– http://a.gd/2524d9/
Auflösen des Hostnamen »a.gd«…. 72.52.201.204
Verbindungsaufbau zu a.gd|72.52.201.204|:80… verbunden.
HTTP Anforderung gesendet, warte auf Antwort… 302 Found
Location: http://66.199.229.253/etds/go.php?sid=43
–2009-06-04 14:15:02– http://66.199.229.253/etds/go.php?sid=43
Verbindungsaufbau zu 66.199.229.253:80… verbunden.
HTTP Anforderung gesendet, warte auf Antwort… 302 Found
Location: /etds/got.php?sid=43
–2009-06-04 14:15:02– http://66.199.229.253/etds/got.php?sid=43
HTTP Anforderung gesendet, warte auf Antwort… 302 Found
Location: http://66.199.229.253/etds/go.php?sid=41
–2009-06-04 14:15:03– http://66.199.229.253/etds/go.php?sid=41
HTTP Anforderung gesendet, warte auf Antwort… 302 Found
Location: /etds/got.php?sid=41
–2009-06-04 14:15:03– http://66.199.229.253/etds/got.php?sid=41
HTTP Anforderung gesendet, warte auf Antwort… 302 Found
Location: http://chickstube.cn/
–2009-06-04 14:15:04– http://chickstube.cn/
Auflösen des Hostnamen »chickstube.cn«…. 82.146.51.126
Verbindungsaufbau zu chickstube.cn|82.146.51.126|:80… verbunden.
Fazit
Wie Panda Security bereits berichtet hat, scheint die Malware-Kampagne derzeit tatsächlich ziemlich massiv zu sein. Benutzer von Twitter sollten deshalb bis auf weiteres keine Links bzw Kurz-URLs wie tinyurl.com & co auf twitter anklicken. Ansonsten gilt: Finger weg von angeblichen Flash-Plugins oder Video-Codecs! Der Adobe Flash Player sollte ausschliesslich auf der Orginal Webseite von Adobe (get.adobe.com) aktualisiert werden.
Für Unternehmen stellt sich nun natürlich die Frage, ob der Zugriff auf twitter.com bzw Kurz-URL Dienste temporär eingeschränkt bzw. gesperrt werden soll. Eine Antwort darauf habe ich leider nicht. Ich hoffe jedoch, dass Twitter das Problem möglichst rasch in den Griff bekommt. Der einzige Trost-Tropfen zur Zeit ist die Tatsache, dass die Kampagne derzeit scheinbar nur Englisch-Sprachig ist. Somit besteht die Hoffnung, dass nicht all zu viele Twitter-User aus dem deutschsprachigen Raum auf den gefälschten Adobe Flash-Player hereinfallen.
Wer jedoch denkt, Twitter stehe mit solchen Problemen alleine da, täuscht sich: Auch andere Social Networks wie z.B. Facebook und Myspace waren bereits Ziel solcher Attacken (siehe heise Security: “Neue Würmer attackieren MySpace und Facebook”).
Anbei eine Liste der Domains / IPs, auf welche die Kurz-URLs verweisen bzw welche ein Rechner nach der Infizierung kontaktiert:
Leider eine echte Plage. Die Klickrate ist im Vergleich zum “klassischen” Spam so enorm, dass sich Twitter leider auch für unrühmliche Dinge lohnt. Mittlerweile kann man auf Twitter die Kurz-URL vor dem Anklicken erweitern (“extend”) und ein aktueller Browser mit Virenscanner sollte in der Regel genügend Schutz bieten.