Zu den Juni-Überraschungen, die Kasperksy Lab im Zuge seiner monatlichen Ermittlung der 20 im E-Mail-Traffic verbreitetsten Schadprogamme zutage förderte, zählt das Comeback eines überaus unangenehmen Wurm-Veteranen: Der multifunktionale Schädling "Net-Worm.Win32.Nimda", der erstmals im Jahr 2001 sein Unwesen trieb, verbreitet sich den Experten zufolge nicht allein über den E-Mail-Traffic, sondern auch über Netzressourcen und versucht zudem, IIS-Server im Netz anzugreifen. Indem er der Administratoren-Gruppe den Anwender "Guest" hinzufügt, soll Nimda jedem Interessierten uneingeschränkten Zugriff auf den Computer und über das Netz auf lokale Festplatten ermöglichen.
Exploits via E-Mail
|
Schädlinge |
Anteil am Malware-Aufkommen |
Veränderung gegenüber Vormonat |
|
34,15 Prozent |
unverändert | |
|
13,16 Prozent |
+ 2 Plätze | |
|
8,20 Prozent |
- 1 Platz | |
|
5,40 Prozent |
+ 14 Plätze | |
|
3,89 Prozent |
- 2 Plätze | |
|
Quelle: Kaspersky Lab |
Ebenfalls erwähnenswert ist laut Kaspersky Labs aktueller Monatsstatistik das Erscheinen des "Exploit.Win32.IMG-WMF.y" im Mail-Traffic. Exploits via elektronische Post stellen den Malware-Forschern zufolge eine besonders große Gefahr dar, weil einige Mail-Programme beigefügte Anhänge ohne spezielle Aufforderung öffnen. Ist die Nachricht mit einem Exploit infiziert, wird der Schadcode beim Ansehen der Mail automatisch ausgeführt und der PC unweigerlich infiziert.
Spammer: Pöbeln und Name-Dropping angesagt
Die E-Müll-Versender haben sich auch im Juni wieder ins Zeug gelegt: Nach den jüngsten Analysen von MessageLabs ist die Spam-Quote hierzulande von 72,8 Prozent (Mai) weiter auf 73,5 Prozent gestiegen. Der internationale Durchschnitt liegt derzeit bei 76,5 Prozent (Mai: 76,8 Prozent).
Dabei brachten die vergangenen vier Wochen allerlei neue Spam-Maschen hervor: Nach Untersuchungen des auf Messaging-Security spezialisierten Dienstleisters versuchten die Initiatoren der E-Schrott-Kampagnen verstärkt, mit Beschimpfungen in den Betreffzeilen die Aufmerksamkeit der Mail-Empfänger zu gewinnen und diese in die Falle zu locken. Einer der Spam-Läufe, der laut MessageLabs via Storm-Botnet verbreitet wurde, verärgerte seine Empfänger mit persönlichen Beleidigungen wie "What a stupid face you have". Die Nachricht selbst enthielt einen Link zur Suchmaschine "Dogpile", der allerdings direkt zu einer Malware-Site führte, auf der die Spammer eine ausführbare Videodatei platziert hatten.
Zu den weiteren interessanten Erscheinungen im aktuellen E-Müll-Umfeld zählte nach Beobachtungen von MessageLabs eine größere Spam-Welle im Juni, die Bezug auf Prominente (etwa US-Senator und Präsidentschaftskandidat Barack Obama) nahm, um Empfänger zum Anklicken eines Links zu verleiten, der auf eine manipulierte Internet-Seite verwies. Diese zeigte dann eine Seite innerhalb von "PornTube" an, einer Ansammlung von Pornoseiten, die sich auf Inhalte nach YouTube-Manier spezialisiert haben. Dort wurde das Spam-Opfer zum Download einer video.exe-Datei (und einem darin versteckten Storm-Botnet-Trojaner) aufgefordert. Solange diese Spam-Welle anhielt, soll sie 18 Prozent aller von MessageLabs abgefangenen Werbenachrichten ausgemacht haben.
Nach Angaben von Mark Sunner, Chief Security Officer von MessageLabs, handelte es sich dabei nicht um die erste Online-Attacke dieser Art: "Im April konnten wir einen ganz ähnlichen Angriff abfangen, bei dem Online-Betrüger YouTube-Videos imitiert hatten, um sie dann nicht etwa über E-Mails mit eingebetteten Links, sondern über Einträge beispielsweise in Blogs oder mittels in Gästebüchern und Foren geposteten Links zu verbreiten." Das untermauere die These, dass sich Spammer vornehmlich auf Inhalte konzentrieren, die sich im Web seit geraumer Zeit großer Popularität erfreuen.
Als Hauptzielscheibe der Werbenachrichtenversender ermittelte MessageLabs hierzulande wieder einmal den Bereich Engineering, an den im Juni mit 74,8 Prozent das Gros des E-Mülls gerichtet war. Passend zur Saison nahmen die Spammer auch das Freizeitgewerbe verstärkt ins Visier (73,4 Prozent). Ebenfalls gut beschickt wurden IT-Dienstleister (70,6 Prozent), der Großhandel (69,5 Prozent) sowie der allgemeine Dienstleistungssektor (69,3 Prozent).
Weniger Phishing, dafür raffinierter
Foto: Retarus
Lag der Anteil von "Phishing-Attacken" am gesamten E-Mail-Schadcode (Viren, Würmer, Trojaner, Phishing-Mails und andere Malware) in Westeuropa im ersten Quartal 2008 noch bei gut 90 Prozent, ist er nach den Analysen des E-Mail-Security-Dienstleisters Retarus in den Monaten April, Mai und Juni auf rund zwei Drittel zurückgegangen (67,65 Prozent). Für Entwarnung ist es aus Sicht von Martin Hager, Managing Director und CEO bei Retarus, allerdings noch zu früh. So sei zwar der Anteil von Betrugsversuchen per E-Mail deutlich gesunken, doch gingen die verbliebenen Betrüger immer raffinierter vor.
In der Vergangenheit gaben sich Kriminelle besonders gern als Bank aus, indem sie Logo und Corporate Identity eines Kreditinstituts nachahmten, um den Kunden zur Preisgabe seiner Daten zu verleiten. Während sich dem Security-Service-Provider zufolge immerhin noch 38,06 Prozent aller Phishing-Attacken auf diese bewährte Masche stützen, werden nun offenbar Internet-Bezahl-Plattformen für Datendiebe interessanter: Laut Retarus geben 39,02 Prozent aller Phishing-Mails vor, von der Ebay-Tochter PayPal oder vergleichbaren Firmen zu stammen, und warnen den vorgeblichen Kunden etwa vor der Sperrung seines PayPal-Accounts, sollte er die geforderten Daten verweigern.
Nur ein knappes Viertel aller Phishing-Attacken versucht sich das Vertrauen der Opfer auf anderen Wegen zu erschleichen. Dazu dienen vor allem zwei Tricks: 7,58 Prozent aller von Retarus gesichteten Betrugsversuche tarnen sich als Hinweise auf Karrierechancen (etwa Job-Angebote), während 6,22 Prozent eine persönliche Bekanntschaft vorgaukeln. Dazu suggerieren sie in der Betreffzeile, dass es sich um eine Antwort auf eine vorhergehende Mail ("RE: Your Document") oder um einen privaten Kontakt ("See you tonight!") handelt.
Gefährliches Spiel auf der Sony-Website
Nach Beobachtungen der Sicherheitsexperten von SophosLabs, den Forschungszentren des Security-Anbieters Sophos, setzte sich ein bereits seit Monaten anhaltender Phishing-Trend im Juni weiter fort: Anstatt Computernutzer mit Phishing-Mails zu attackieren, versuchen Cyberkriminelle zunehmend, vertrauliche Daten oder Geld von Anwendern via Internet, etwa über soziale Netze oder infizierte Websites, zu ergaunern. Als jüngstes Beispiel nennen die Forscher einen Vorfall Ende Juni, bei dem die US-Website von Sony PlayStation gehackt und mit Schadcode infiziert wurde. Besucher der Site, deren Rechner nicht ausreichend geschützt waren, erhielten daraufhin eine gefälschte XP-Securitycenter-Meldung, in der behauptet wurde, ihr PC sei mit einer Vielzahl an Viren und Trojanern verseucht. Um das System von den vermeintlichen Schädlingen zu befreien, sollten die User über Kreditkarte ein kostenpflichtiges Antispyware-Programm herunterladen. Dieses war allerdings nicht darauf ausgelegt, Malware zu entfernen, sondern weitere Schadprogramme nachzuladen, um die betroffenen Rechner als Teil eines Botnets zu missbrauchen oder vertrauliche Anwenderdaten auszuspionieren.
Die im Fall Sony genutzte Masche findet Christoph Hardy, Security Consultant bei Sophos, besonders dreist: "Erst spielen die Übeltäter mit der Angst der User vor einer Vireninfektion, um dann nicht nur geschickt Kreditkartennummern abzufragen, sondern auch noch weiteren Schadcode auf die Rechner zu laden." Um solchen Attacken entgegenzuwirken, seien sowohl die Anwender selbst als auch die Website-Betreiber gefordert. So gelte es für die User, ihre Rechner mit geeigneter Sicherheitssoftware auszustatten, während die Website-Betreiber für hinreichenden Schutz der Site zu sorgen hätten - vor allem bei so stark frequentierten Websites wie der von Sony PlayStation.
Mittlerweile ist die Sony-Website wieder frei von Malware - aus Sicht von Sophos dennoch kein Grund zur Entwarnung. So haben die Sicherheitsforscher der SophosLabs in den ersten Monaten des Jahres 2008 alle fünf Sekunden eine neue infizierte Web-Seite entdeckt - Tendenz steigend. (kf)