Tag Archive for 'money-mules'

Drive-by infections – Die Spitze eines Eisberges?

Gestern stoss ich auf eine Schweizer Webseite (.ch), welche über eine Lücke im Adobe Reader das System des Besuchers mit einem Trojaner infiziert (eine sogenannte Drive-By Infektion). So weit eigentlich nichts aussergewöhnliches. Jedoch musste ich mit erschrecken feststellen, dass die Webseite bereits seit Dezember 2008 mit dem Drive-by infiziert ist. Um so schlimmer, dass es sich bei der verteilten Malware um den technisch ausgeklügelten Banken-Trojaner Mebroot (aka Sinowal) handelt.

Schrauben wir die Zeit einmal zurück: Im Oktober 2008 stiess Aladdin Knowledge Systems auf eine Liste mit über 200’000 gestohlenen Zugangsdaten zu FTP Accounts. Dabei handelt es sich um FTP Accounts, welche vom Banken-Trojaner Mebroot benutzt werden, um Drive-By Infektionen auf Webseiten zu platzieren. Unter den gestohlenen FTP Zugangsdaten waren auch rund 3’000 FTP Accounts aus der Schweiz. Die zuständigen Schweizer Provider wurden damals über die gestohlenen Daten informiert.

Zurück zu unserer gehackten Webseite: Wie bereits erwähnt, verteilt die Webseite bereits seit Dezember 2008 Malware – und sie ist in der Liste von Aladdin aufgeführt. Sprich: Obwohl der Provider im Dezember 2008 informiert wurden, verteilt die Webseite knapp 4 Monate danach immer noch Malware!

Leider ist dies kein Einzelfall. Es gibt einige duzend Webseiten, welche immer noch infiziert sind. Die Provider scheinen solche abuse Meldungen wohl nicht wirklich ernst zunehmen.

Wie bereits erwähnt, enthält die Liste vom Oktober 2008 nur Zugangsdaten zu FTP Accounts, welche vom Banken-Trojaner Mebroot benutzt werden. Neben Mebroot gibt es jedoch noch haufenweise anderer Trojaner wie z.B. Emold/Autorun oder Zbot/ZeuS, welche sich ebenfalls per Drive-By Infektion weiterverbreiten oder auf infizierten Systemen im Hintergrund Login Informationen zu FTP Accounts mitschneiden.

Was jetzt natürlich interessant wäre, wäre die Anzahl infizierter Webseiten in der Schweiz zu nennen. Leider gibt es keine offizielle Zahl. Eine Schätzung gestaltet sich äusserst schwierig. Von der einen oder anderen Seite habe ich jedoch bereits ein paar Zahlen gehört. Die Anzahl gekaperter FTP Accounts würde ich deshalb Vorsichtig auf 12’000 schätzen. Dies bedeutet jedoch nicht, dass auch 12’000 Webseiten infiziert sind. Zum Beispiel von Mebroot weiss man, dass dieser die Zahl der infizierten Webseiten in der Schweiz relativ konstant bei etwa ~300 hält, obwohl er ja eine Liste von über 3’000 gestohlenen FTP Accounts in der Schweiz besitzt. Die Zahl der infizierten Webseiten behält der Trojaner jedoch wahrscheinlich nur solange konstant, wie die Anzahl infizierter Computer in der Schweiz nicht unter einen bestimmten Wert fällt. Ist dies der Fall (wie z.B. im Dezember 08, als die Zahl der Infizierungen unter diesen Wert viel), stockt Mebroot die Anzahl der Webseiten auf, welche den Trojaner verbreiten (sprich er nutzt seine Liste der gestohlenen FTP Accounts, um die Zahl der infizierten Webseiten in der Schweiz zu erhöhen). Steig die Anzahl infizierter Computer wieder über diesen Schwellwert, desinfiziert der Trojaner einzelne Webseiten wieder bist sich die Zahl der infizierten Webseiten wieder bei ~300 ein pendelt.

Dieses vorgehen von Mebroot ist sehr interessant. Er besitzt zwar eine riesige Liste an gekaperten FTP Accounts, nutzt jedoch nur wenige davon wirklich aus, um sich weiter zu verbreiten. Nun stellt sich die berechtigte Frage wieso? Die Antwort ist relativ plausibel: Mebroot will nicht all zu sehr auffallen. Ein gutes Beispiel dafür, was passieren kann, wenn eine Malware zu grosses Aufsehen erregt, ist der Storm-Worm. Nachdem der Sturm-Wurm Hundertausende Computer infiziert hatte, versetzte Microsoft dem Trojaner am 11. September 2007 den Todesstoss, als Microsoft’s Malicious Software Removal Tool (MSRT) damit begann, infizierte System zu bereinigen. Mit höchster Wahrscheinlichkeit versucht Mebroot dies gezielt zu vermeiden.

Ein weiterer Grund sind wohl die Money-Mules: Was nützen den Kriminellen zehntausende gestohlene Bank-Daten, wenn sie nicht genügend Money-Mules haben, welche das gestohlene Geld entgegen nehmen und den Kriminellen weiter reichen?

Fazit

Ich kann mir gut vorstellen, dass der Trojaner Mebroot eine Menge Profit abwerfen würde. Da es den Kriminellen jedoch zunehmend schwerer fällt, Money-Mules zu finden, liegt dort ganz klar der Flaschenhals. Zudem darf man nicht vergessen, dass die Kriminellen jeden Money-Mule nur einmal benützten können. Danach müssen sich die Kriminellen auf die Suche nach neuen Money-Mules begeben.

Beim Thema Drive-By Infektionen sieht es in der Schweiz nicht anders aus, als in anderen Ländern. Auch hier sind Drive-By Infektionen ein ernst zu nehmendes Thema. Laut Sophos wird Weltweit alle fünf Sekunden eine Webseite infiziert (Quelle: Sophos Security Threat Report: Alle fünf Sekunden eine infizierte Website). Wer sich deshalb vor Drive-By Infektionen schützen möchte, sollte stets die auf dem Computer installierte Software wie z.B. Adobe Reader, Adobe Flash Player, Java RunTime, Firefox/Internet Explorer aber auch das Betriebssystem selbst auf dem neusten Stand halten. Unterstützung dabei bietet Secunia’s Personal Software Inspector (PSI), welcher die auf dem Heimcomputer installierten Applikationen regelmässig auf die Aktualität prüft (download).

Für Unternehmen gehört nebst dem regelmässigen Software patching auch ein geeigneter Web Proxy / Web Gateway zum Kern der heutigen Sicherheits-Infrastruktur, um Clients vor Drive-By Infektionen zu schützen.

Webmastern empfehle ich zudem, ihre Webseite mit dem MELANI Webseiten-Checktool auf Schadcode (sprich Drive-By Infektionen) überprüfen zu lassen (link).




economics-recluse
Scene
Urgent!