Trends & News | News

Gezielter Phishing-Angriff auf ESET-Kunden

Betrüger haben die Daten zahlreicher Kunden der Antivirenfirma ESET erbeutet und für einen perfiden Phishing-Angriff missbraucht. Die Gauner verschickten gefälschte Mails, in denen sie in englischer Sprache behaupteten, dass ESET einen Fehler bei der Überprüfung der Kundendaten festgestellt hat. Wenn der Empfänger der Mail nicht schleunigst eine Webseite besucht und seine Daten überprüft, werde die Lizenz für die Antivirensoftware gesperrt.

Die Empfänger der Mails wurden persönlich angesprochen und auf der verlinkten Phishing-Seite nach ihren Kreditkartendaten gefragt. Laut ESET wurden die Adressdaten nicht bei dem Unternehmen selbst, sondern bei einem Distributor entwendet. (kbe/rei)

Krypto-Chat geknackt

Gespräche, die im Zeitraum vom 17. Oktober 2011 bis 15. Juni 2013 über das verschlüsselnde Chat-Tool Cryptocat geführt wurden, lassen sich leicht entschlüsseln. Durch einen Fehler bei der Erzeugung der privaten Krypto-Schlüssel (Elliptic Curve Cryptography, ECC) sind erheblich weniger Schlüssel möglich, als von den Cryptocat-Entwicklern beabsichtigt. Ein Datenschnüffler kann die Krypto-Chats deshalb in kurzer Zeit per Brute Force knacken – sofern er sie denn in dem genannten Zeitraum mitgeschnitten hat. Nachrichten, die zwischen aktuellen Cryptocat-Versionen ab 2.0.42 übertragen werden, lassen sich nicht knacken; zumindest nach dem derzeitigen Stand der Technik. (ogo/rei)

Windows-Rechtesystem soll wieder dicht halten

Microsoft will an seinem Juli-Patchday endlich eine Sicherheitslücke im Windows-Kernel schließen, die seit über einem Monat das Rechtesystem torpediert (siehe c’t 14/13, Seite 53). Die Schwachstelle hatte der bei Google angestellte Sicherheitsexperte Tavis Ormandy entdeckt, der daraufhin nicht lange zögerte und die Details über seinen Fund Mitte Mai ins Netz stellte. Kurz darauf folgte auch ein passender Exploit, mit dem jedermann die Lücke ausnutzen kann.

Der Exploit öffnet eine Eingabeaufforderung mit System-Rechten – unabhängig davon, welche Rechte man eigentlich hat. Obwohl das Rechteausweitungs-Tool seit geraumer Zeit öffentlich zugänglich im Netz kursiert, hat Microsoft seine Kunden vor dem Patchday nicht über die Gefahr informiert.

Insgesamt soll es sieben Patch-Pakete (Bulletins) im Juli geben; sechs davon schließen kritische Lücken, die das Einschleusen von Schadcode aus der Ferne erlauben. Die meisten Patch-Pakete betreffen Windows. Darüber hinaus sollen Internet Explorer, Office 2003 SP3 bis 2010 SP1, Silverlight 5, Visual Studio .NET 2003 SP1, Lync und Windows Defender (unter Windows 7 und Server 2008 R2) abgesichert werden. Die Patch-Pakete sollen kurz nach Redaktionsschluss veröffentlicht werden. Höchstwahrscheinlich stehen sie zur Installation bereit, wenn Sie dieses Heft in den Händen halten. (rei)

Virus per Auto-Update

Cyber-Kriminelle sind bei dem Browser-Hersteller Opera eingestiegen und haben offenbar verseuchte Browser-Updates verteilt. Opera erklärte, dass die Eindringlinge ein Code-Signing-Zertifikat des Unternehmens zum Signieren eines Trojaners missbrauchten.

Den Angreifern ist es anschließend gelungen, die Auto-Update-Funktion von Opera für einen Zeitraum von 36 Minuten (am 19. Juni ab 3 Uhr nachts deutscher Zeit) auf die signierte Malware-Datei umzuleiten. Es ist also möglich, dass der Trojaner in dieser Zeit automatisch vom Opera-Browser installiert wurde. Der Browser-Hersteller spricht von einigen Tausend Windows-Nutzern, die potenziell infiziert wurden. Der Trojaner grast das infizierte System nach Zugangsdaten ab, die in Browsern, Mail-Clients und FTP-Programmen gespeichert sind.

Wer Opera auf seinem Rechner installiert hat und nicht ausschließen kann, dass der Browser während des genannten Zeitraums ein Update durchgeführt hat, sollte sein System mit einer bootfähigen Antiviren-DVD wie Desinfec’t untersuchen. (rei)

Quellcode von Super-Trojaner

Im Netz kursiert ein rund zwei GByte großes Dateiarchiv, das den Quellcode des Online-Banking-Trojaners Carberp enthalten soll. Ein Blick in die auf Russisch verfasste Readme-Datei offenbart, dass sich der Trojaner mit einem eigenen Bootloader in den Master Boot Record (MBR) der Festplatte einklinken können soll. Der Bootloader kann angeblich weitere Treiber nachladen. Einer von ihnen soll ein verstecktes und verschlüsseltes Dateisystem einbinden können, das in nicht zugewiesenen Sektoren der Festplatte gespeichert wird. Auf diesen speziellen Speicher kann der Virenscanner dann nicht zugreifen, sehr wohl aber der Trojaner. Die Bootkit-Funktion soll sogar die 64-bit-Versionen von Windows (bis hin zu Windows 8) unterstützen, da die unsignierten Carberp-Treiber vor dem Patch Guard geladen werden. Ähnlich geht auch die Malware TDL4 vor, die wir im Rahmen unserer Artikelserie Tatort Internet analysiert haben (siehe c’t-Link).

Die übrigen angepriesenen Funktionen entsprechen größtenteils denen anderer Online-Banking-Trojaner. Essenziell ist das Manipulieren aufgerufener Banking-Websites mittels Templates als Man-in-the-Browser. Bislang gibt es aufgrund des schieren Umfangs des Carberp-Archivs noch keine umfassende Analyse des Codes. Die Ordner sind chaotisch strukturiert und enthalten einige Dubletten. Der Carberp-Code scheint jedoch authentisch zu sein. Das Archiv enthält darüber hinaus noch einige weitere Werkzeuge, etwa um Malware so zu modifizieren, dass sie nicht mehr vom Virenschutzprogramm erkannt wird.

Carberp wird als einer der gefährlichsten Vertreter seiner Gattung gehandelt. Entsprechend tief mussten Cyber-Kriminelle in spe bislang auch in die Tasche greifen: Berichten zufolge wurde der Trojaner in Untergrund-Foren für 40 000 US-Dollar angeboten. Im Frühjahr nahmen die Geheimdienste Russlands und der Ukraine eine Betrügerbande fest, die mit dem Trojaner rund 200 Millionen Euro erbeutet haben soll. (rei)

Sicherheits-Notizen

Ruby schließt mit den Updates auf die Versionen 1.8.7-p374, 1.9.3-p448 und 2.0.0-p247 mehrere Sicherheitslücken, die in allen älteren Versionen klaffen.

Unbekannte haben Daten aus der Kundendatenbank des Spiele-Publishers Ubisoft kopiert, in der unter anderem Mail-Adressen und Passwort-Hashes gespeichert sind. Allen Kunden wurde ein Passwortwechsel empfohlen.

Avira gibt seine Linux-Produkte auf. Betroffen sind Free Antivirus Linux, Professional Security Linux sowie Server Security Linux. Seinen Kunden verspricht Avira, die Produkte noch bis 2016 zu pflegen.

Artikel kostenlos herunterladen

weiterführende Links

Anzeige