News

News

Neuer Trojaner: Tatanga

Online-Banking-Kunden, die den mittlerweile verbreiteten Service "Mobile-TAN" benutzen, sollten aufpassen, denn wie der Sicherheitsexperte "Trusteer" angibt, wurde ein neuer Trojaner entdeckt, der den Browser so manipuliert, dass ahnungslose Kunden ihre Transaktionsnummern bisher unbekannten Tätern zukommen lassen.

Man in the Browser

Relativ neu ist die Methode, die der Trojaner einsetzt, um die ursprüngliche Webseite durch eine selbst generierte zu ersetzen. Da die Bausteine, die dafür benutzt werden, tatsächlich von der angesurften Webseite stammen, können Kunden die manipulierte Seite nur schwer als solche identifizieren. Getauft wurde diese Methode auf den Namen "Man in the Browser", denn die Bibliotheken des Trojaners fangen jeglichen Verkehr zwischen dem Browser und dem Internet ab, um beim Ansurfen der von ihm gewünschten Webseite zuzuschlagen.Plötzliche "Sicherheitsüberprüfung" ein Indikator.

Nachdem man sich als ahnungsloser Kunde ganz normal bei seiner Bank einloggt, erscheint im Browser ein Fenster, das zur Eingabe einer Transaktionsnummer auffordert, die der Nutzer wie gewohnt per Handy erhält. Als Legitimation gibt der Trojaner an, es handele sich dabei um eine "Sicherheitsüberprüfung", die den korrekten Datenempfang bestätigen soll. Gibt der Benutzer jetzt die empfangene Transaktionsnummer ein, werden sofort mehrere Prozesse gestartet. Zum einen wird man wie gewohnt auf die Übersichtsseite seiner Bank umgeleitet und kann auf alle Funktionen zugreifen. Zum anderen wird eine Transaktion durchgeführt, die das verfügbare Geld auf ein Geldkurierkonto überweist. Der Nutzer merkt davon jedoch nichts, da die manipulierte Webseite weiterhin den vermeintlich richtigen Kontostand anzeigt.

Mangelnde Deutschkenntnisse

Zum Glück für viele Nutzer ist der Text der gefälschten Seite mit Rechtschreib- und Grammatikfehlern übersät, wirkt maschinell übersetzt und ist insgesamt kaum lesbar, weswegen sich die Manipulation momentan noch leicht entdecken lässt. Dies ist jedoch kein Grund zum Aufatmen, denn solche Fehler lassen sich schnell korrigieren und die Tatsache, dass der Trojaner ein solch ausgeklügeltes System nutzt, um die Transaktionen zu verschleiern, lässt darauf schließen, dass hier wirklich gute Programmierer am Werk waren. Sollte sich diese Methode durchsetzen und die Banken keinen Weg finden, einer solchen Masche den Riegel vorzuschieben, könnten Nutzer des mobilen Transaktionsverfahrens bald mit großen Problemen konfrontiert werden.

Antiviren-Software-Test der Stiftung Warentest sorgt für Wirbel

Die Stiftung Warentest hat 18 Antivirenprogramme getestet, die insgesamt 1.800 Schädlinge finden sollten und dabei ein vernichtendes Urteil gefällt. Nur vier Hersteller seien insgesamt „gut“ gewesen, heißt es im Bericht der Prüfer. Keine Software habe alle Schädlinge aufspüren können. Der Testsieger sei gerade einmal auf 96 Prozent gekommen. Die wohl größte Überraschung des Tests: Auf den letzten vier Plätzen fanden sich mit McAfee, Trend Micro, Symantec und Panda sehr prominente Namen, die weltweit sogar als Marktführer angesehen werden. Diese liefen deshalb auch Sturm gegen den Test und bezeichneten ihn als „veraltet“, „nicht aussagekräftig“ und „nutzlos“.

Die Kritik am Test

Die Stiftung Warentest soll die Antivirenprogramme nicht selbst getestet haben, sondern sie soll die Tests von einem Fachlabor in Italien durchführen lassen haben. Dort spielten die Spezialisten rund 1.800 Schädlinge auf virtuelle Systeme. Anschließend sollten die Schädlingsbekämpfer diese aufspüren und vernichten. Das Ganze soll jedoch weitgehend offline geschehen sein, woran sich die schärfste Kritik entzündet. McAfee ließ beispielsweise verlauten, der Test sei wie vor zehn Jahren gemacht und nicht an die modernen Gegebenheiten angepasst. Dem stimmten selbst die Testsieger von G-Data zu. Praktisch jede Software arbeite mittlerweile mit Netzunterstützung, weil man auf diese Weise viel besser auf neue Bedrohungen reagieren könne. Der zweite Kritikpunkt, an dem sich fast alle getesteten Firmen störten, war der Umstand, dass nur 1.800 Schädlinge aufgespielt worden sind. So erläuterte Trend Micro beispielsweise, dass man täglich bis zu 70.000 neue Schadprogramme finde und 1.800 Viren deshalb keine repräsentative Größe seien, um zu messen, ob ein Programm gut oder schlecht sei.

Stiftung Warentest kritisiert Kritiker

Obwohl einem Teil dieser Vorwürfe auch objektiv nicht zu widersprechen ist, wehrt sich die Stiftung Warentest gegen die Kritik und weist diese als unbegründet zurück. Der Test sei ordentlich gemacht worden und liefere aussagekräftige Ergebnis. Ein Teil des Wirbels ließe sich wohl darauf zurückführen, dass die Verbraucher gute und leicht verständliche Ergebnisse wünschten, während Hersteller vor allem Wert auf große Detailtiefe in den Tests legten. Allerdings schnitten viele Hersteller, die bei der Stiftung Warentest schwache Ergebnisse erreichten, im fast zeitgleich durchgeführten „AV-Test“ deutlich besser ab. Laien dürfte dies verwirren. Den Herstellern droht zudem weiterer Frust: Denn die Ergebnisse der Stiftung Warentest werden auch im europäischen Ausland publiziert.

Kontroverse um das Sality-Botnetz

über die Mailingliste Full Disclosure tauschen sich vorrangig weltweit agierende Sichereits-Experten aus. Am Dienstag, den 27.03.2012, hat sich dort nun ein User unter dem Pseudonym "lawabidingcitizen" angemeldet, was soviel bedeutet, wie gesetzestreuer Bürger! Der Username ist nichts ungewöhnliches. Das, was er als Bitte an die Experten der Security-Community richtete hingegen war sehr ungewöhnlich.

Lawabidingcitizen schrieb sinngemäß die Zeilen "Bitte nehmt das Sality-Botnetz nicht vom Netz". Diese wenigen Wörter lösten Verwirrung in den Reihen der Sicherheitsexperten aus. Man wusste nicht, ob man dies nun für voll nehmen sollte oder es lediglich die Aussagen eines Scherzenden waren. In den nachfolgenden Zeilen wurde die Nachricht jedoch immer spannender! Demnach soll er wohl im Verlauf eigener Recherchen eine Methode entwickelt haben, das Botnetz gegen sich selbst zu verwenden. Diese soll zu einer Reduktion der infizierten PCs in entscheidendem Maß führen. Der Knackpunkt an eben dieser Vorgehensweise ist es jedoch, dass die besagte Aktionen klar gegen bestehende Gesetze verstoßen würden. Trotz dieses Fakts beschreibt er das genaue Prozedere recht detailliert und kündigte sogar an, spezielle Software-Werkzeuge hierfür zu veröffentlichen.

Die mögliche Methode aus anonymem Mund

Bei der vorgeschlagenen Prozedur soll die Nachlade-Funktion der botnet-Clients dafür ausgenutzt werden, um ein entsprechendes Reinigungs-Tool in die so genannten Zombies zu implementieren. Selbiges würde von diesem Zeitpunkt an dafür sorgen, dass sie sich praktisch selbst entfernen. Um den Sicherheitsexperten gleich ein entsprechendes Tool in die Hand zu geben, wurde eine auf diese Bedürfnisse angepasste Fassung des Sality-Removal-Tools aus dem Hause AVG vom anonymen Nutzer veröffentlicht. Auch ein hierfür notwendiges Skript wurde von ihm entwickelt, welches eine Liste von Internetadressen ausgibt, die gegenwärtig für die Aktualisierung des Bot-Codes verewndet werden.

Offene Fragen

Zum aktuellen Zeitpunkt ist aus seinen Aussagen allerdings nicht zu entnehmen, wie die betroffenen Dateien tatsächlich vom Server gelöscht werden. Man geht davon aus, dass der eigentliche Bot-Code von löchrigen Internet-Präsenzen in die ganze Welt verbreitet wird, weshalb die Betreiber selbst einen Befall noch gar nicht bemerkt haben werden. Aufgrund dessen ist es wahrscheinlich, dass die für die Einschleusung verwendeten Lücken auch heute noch existieren und für diese Methode genutzt werden könnten. Nach gegenwärtigem Kenntnisstand soll der besagte Bot Sality bereits zum Diebstahl von Passwörtern und auch zum Spam-Versand in Anspruch genommen worden sein.

Kaspersky und CowdStrike schalten Botnetz ab

Dem bereits seit Jahren im Bereich der PC-Sicherheit aktive Unternehmen Kaspersky Lab gelang nun gemeinsam mit dem Team der CrowdStrike Intelligence und einigen weiteren Mitarbeitern der Branche ein entscheidender Schlag gegen Internet-Kriminelle! Involviert waren zudem die Abteilung Dell SecureWorks sowie Mitglieder des Honeynet Project. Nachdem erst vor Kurzem bereits das erste so genannte Hlux-Botnetz abgeschaltet werden konnte, folgte nun das Zweite. Das nun abgeschaltete Netz war nahezu drei mal so groß, wie das bereits im September vergangenen Jahres abgeschaltete Botnetz. Demnach wurden über 109.000 infizierte Hosts infolge dessen erfolgreich "neutralisiert".

So zerschlägt man ein Botnet

Die Woche vom 19.03.2012 wird wohl in die Geschichte der Internet-Sicherheit eingegangen sein. So konnte zu diesem Zeitpunkt das renommierte CrowdStrike Intelligence Team, die Gruppe von Dell SecureWorks sowie das Honeynet Project eine weitere so genannte Sinkholing-Operation durchführen. Viel interessanter ist jedoch das eigentliche Ergebnis! Demnach konnte nun bereits das zweite Hlux/Kelihos-Botnetz zerschlagen werden. Bei beiden Varianten handelte es sich nach den Aussagen der Experten um gefährliche Peer-to-Peer-Botnetze. Somit fungierte jeder Bestandteil dieses Netz sowohl als Server und als Client, um Daten und Bedrohungen aller Art zu verbreiten. In der Regel werden herkömmliche Botnetze von einem zentralen Command-and-Controll-Server aus gesteuert. Um ein Mittel gegen dieses schwer auszumachende Botnetz zu entwickeln, waren Sicherheitsexperten aus der ganzen Welt gefragt. Sie entwickelten ein globales Netzwerk, welches unerkannt in die Botnetz-Infrastruktur eingeschleust werden konnte. Bereits kurze Zeit später wurde die Leistungsfähigkeit des Sinkhole-Botnetzes zunehmend gesteigert. Die Experten von Kaspersky konnten immer mehr betroffene Rechner unter ihre Kontrolle bringen, was verhinderte, dass der Operator Zugang zu den besagten PCs erhielt. Mit jedem weiteren Gerät, das nicht mehr für das Peer-to-Peer-Netzwerk agierte, konnte die Architektur mehr und mehr untergraben werden. Der Einfluss von Hlux ging somit langsam aber sicher verloren. Aufgrund dieser Sinkhole-Operation konnte das Hlux/Kelihos-Botnetz schlussendlich vollständig zerschlagen und vom Netz genommen werden.

Perfide Malware befällt Arbeitsspeicher des Computers

Eine besonders hinterlistige Variante von Drive-by-Malware haben die Experten der Kaspersky Labs entdeckt. Statt sich an Dateien anzuhängen, befällt sie den Inhalt des Arbeitsspeichers – und macht es Virenscannern damit schwer, sie zu entdecken.

Drive-by-Malware kann den Computer im Vorbeisurfen mit Malware infizieren.
Dabei hängt sich der Schadcode allerdings in der Regel an Dateien, wo er von Virenscannern erkannt werden kann. Anders hält es eine kürzlich in freier Wildbahn entdeckte Variante. Diese nutzt Java, um sich nicht an Dateien zu hängen – sondern trickreich im RAM zu verstecken.

Verbreitung über bekannte News-Seiten

Die ungewöhnliche Angriffsvariante wurde in Russland entdeckt. Dort verseuchte sie die bekannten News-Portale Gazeta und RIA Novosti. Die Verbreitung erfolgte hierbei ohne das Wissen der Seitenbetreiber über ein Werbebanner.

Die Analyse ergab, dass die Malware eine bekannte Sicherheitslücke in Java (CVE-2011-3544) ausnutzt, bei der eine modifizierte DLL auf das System gelangt. Laut den Experten ließe sich nicht beziffern, wie viele Seitenbesucher sich die Malware eingefangen haben. Normalerweise würde bei solchen Angriffen schadhafter Code auf die Festplatte geschmuggelt. Im vorliegenden Fall verstecke sich der Code jedoch im Arbeitsspeicher, berichtet der Kaspersky-Lab-Mitarbeiter Sergey Golovanov im Blog des Unternehmens.

Malware könnte Banking-Trojaner installieren

Bei jedem Neustart oder Herunterfahren des Systems wird der Speicher gelöscht. Deshalb ist die Angriffsvariante sehr selten. Jedoch stellt das für die Angreifer wohl kein Problem dar, denn ihre Opfer dürften öfter auf den Seiten vorbeischauen.

Vom Rechner des Opfers aus kommuniziert die Malware mit einem Kontrollserver, von dem auch neue Anweisungen empfangen werden. Darunter soll sich der Befehl befunden haben, einen Banking-Trojaner zu installieren.