Was Sicherheitsexperten den Schlaf raubt

Trojaner und schädliche Werbung sind auf dem Vormarsch in der Schweiz

Uhr | Aktualisiert
von Coen Kaat

Komisch, spannend und beängstigend. Jeden Tag kommen neue Meldungen zu DDoS-Attacken, Ransomware, Crypto-Minern und Co. Die Redaktion bloggt an dieser Stelle über alles rund um Cybercrime und IT-Security.

(Source: Ciolanescu / Shutterstock.com / Netzmedien)

Ticker

22.05.2018 - 15:37 Uhr

Trojaner und schädliche Werbung sind auf dem Vormarsch in der Schweiz

Check Point hat seine Liste der Top-Malware in der Schweiz aktualisiert. Die Spitze der Liste wird zwar noch immer von Crypto Minern dominiert – Skripte, die ohne das Mitwissen der Opfer ihre Rechenleistung anzapfen, um nach Kryptowährungen zu schürfen. So führt etwa Coinhive die Liste an – wie bereits im Vormonat (siehe Eintrag vom 27.04.2018 – Die grössten Malware-Bedrohungen in der Schweiz im März).

Anderswo ist die Liste aber stark in Bewegung. Im Vergleich zum März fällt etwa auf, dass schädliche Werbung und Trojaner wieder an Boden gewinnen in der Schweiz. Im Vormonat war kein einziger Trojaner in der Liste. Im April gleich zwei: Scar und Nivdort. Beide haben es auf die Benutzer- und Login-Daten ihrer Opfer abegsehen.

Die Top Malware in der Schweiz im April:

  1. Coinhive (Crypto Miner)
  2. Roughted ((Malvertising)
  3. Cryptoloot (Crypto Miner)
  4. Jsecoin (Crypto Miner)
  5. Necurs (Botnet)
  6. Scar (Trojaner)
  7. Nivdort (Trojaner)
  8. Fireball (Adware)
  9. Pirrit (Adware)

Roughted war bereits im März in der Liste, sprang nun aber von Platz 4 auf 2. Roughted nutzt Werbung und bösartige Websites, um die Rechner seiner Opfer mit weitere Malware zu infizieren – wie etwa Ransomware oder Adware – eine weitere Form schädlicher Werbung. Diese ist ebenfalls auf dem Vormarsch. 

Mit Pirrit hat die April-Liste einen zweiten Vertreter aus dem Bereich Adware erhalten. Derartige Malware wird genutzt, um den Broswer der Opfer auf bestimmte Werbeanzeigen umzulenken. Oft lässt sich über Adware aber auch noch viel mehr Schaden anrichten. 

Die andere Adware, Fireball, rutschte derweil einen Platz hinab. Was im Vergleich zum Vormonat ebenfalls auffällt, ist die geringe Anzahl an Botnetzen in der Top-Malware-Liste von Check Point. Im März listete Check Point noch drei Botnetze – im April nur noch eines. 

22.05.2018 - 15:24 Uhr

Intel stopft ein paar der neuen Spectre-Lücken

Anfang Mai waren neue Spectre-Lücken aufgetaucht (siehe Eintrag vom 04.05.2018 – Intel kommt nicht zur Ruhe). Nun hat Chip-Hersteller Intel, dessen Prozessoren von den Schwachstellen betroffen sind, erste Update veröffentlicht. Diese sollen die Bedrohung, die durch Spectre verursacht wird, abschwächen.

Der Chiphersteller veröffentlichte jedoch nur Updates für zwei der acht neuen Sicherheitslücken, wie Heise berichtet. Die restlichen 6 erwähnt Intel in seinem Blogeintrag zu den Updates nicht. Mehr Informationen zu den gepatchten Lücken finden sich hier für die Variante 3a (CVE-2018-3640) und Variante 4 (CVE-2018-3639).

22.05.2018 - 13:18 Uhr

Jetzt auch auf Instagram

Der IT-Security-Blog hat einen kleinen Abstecher gemacht. Neu ist der Blog auch auf Instagram vertreten. Dort sind die Illustrationen zu finden, die jeweils in der Printversion des IT-Security-Blogs erscheinen. 

11.05.2018 - 17:58 Uhr

Kryptobetrüger geben ihren Opfern die Schuld

Was machen die Drahtzieher einer betrügerischen Krypto-Malware, wenn sie aufliegen? Sie ziehen einen Exit-Scam ab! Und zeigen dabei sogar noch mit dem Finger auf das Unternehmen, das sie für ihren Betrug imitiert hatten. 

Die Geschichte beginnt mit einer Warnung von Electrum. Das Unternehmen bietet eine gleichnamige Bitcoin-Wallet-App. Auf seiner Website warnt es vor einem Nachahmer: Electrum Pro. Dabei handle es sich nicht etwa um eine Pro-Version von Electrum, sondern um Malware. 

Die bösartige App stiehlt die Seed-Keys ihrer Opfer und schickt sie an die Malware-Entwickler, wie Bleepingcomputer berichtet. Mit diesen kryptographischen Schlüsseln haben die Betrüger Zugriff auf alle Bitcoin-Gelder, die in dem Wallet gespeichert sind. 

Die Betrüger haben ihre Website unterdessen deaktiviert und machten sich vom Acker. Besucher der Website sehen lediglich eine Botschaft von «Lucas Lofgren und dem Electrum-Pro-Team». Sie werfen Electrum vor, das Unternehmen hätte ihren Ruf zerstört. Das Team hätte sich infolgedessen nun aufgelöst. Ein Exit-Scam also.

Wie viel und ob sie überhaupt etwas ergaunern konnten, ist jedoch fraglich. Die Warnungen auf der Electrum-Seite und in den Medien gingen heraus, bevor die Falle zuschnappen konnte. Gemäss Bleepingcomputer war es den Cyberkriminellen bis zum 10. Mai – ein Tag bevor die Website offline ging – noch nicht gelungen, Bitcoins zu stehlen. 

Mehr zum Thema Blockchain und Kryptowährungen finden Sie im Krypto-Blog auf Netzwoche.ch

11.05.2018 - 17:47 Uhr

Poetische Ransomware macht die Welt zu ihrem Garten

Nicht jeder, der Ransomware entwickelt, will sich damit die Taschen füllen. Wie auch im Falle der Erpressersoftware Whiterose. Wie andere Schadprogramme dieser Art, verschlüsselt Whiterose nach der Infektion Dokumente sowie Bild- und Videodateien diverser Formate. Sie gibt diesen die Dateiendung ".whiterose". 

Wie die Ransomware auf den infizierten Rechnern landet, ist unklar. Möglicherweise wird sie manuell installiert, wenn das Opfer einen Remote-Desktop-Dienst nutzt. Die Verschlüsselung wurde jedoch bereits geknackt und lässt sich auch ohne Lösegeldzahlung wieder beheben. 

Also: kein Grund zur Panik und stattdessen viel Zeit, sich den Erpresserbrief einmal genauer anzusehen, wie Bleepingcomputer dies tat. Der Erpresserbrief wirkt nämlich viel mehr wie eine literarische Erzählung – stellenweise sogar fast wie ein Gedicht. 

Es geht um einen einsamen Hacker, der nichts hat, ausser einem leeren Haus und einem Garten voller weisser Rosen. Also entschied er sich, allen Menschen auf der Welt ein Geschenk zu machen: eine weisse Rose, die in den Systemen der Beschenkten wächst. Genau wie in seinem Garten. 

White Rose (Source: Netzmedien)

(Source: Netzmedien)

11.05.2018 - 17:44 Uhr

Was Nutzer wohl von starken Passwörtern halten

Die deutschen Comic-Autoren Elizabeth Pich and Jonathan Kunz von War and Peas haben sich mit starken Passwörtern befasst und was sie wohl davon halten graphisch umgesetzt. Mehr Comics des Duos gibt’s an dieser Stelle
Weak Passwords von War and Peas.(Source: Warandpeas.com)

11.05.2018 - 17:41 Uhr

Tarnspezialisten schleichen sich erneut in Googles Play Store

Die Sicherheitsexperten von Symantec haben sieben Wiederholungstäter im Google Play Store entdeckt. Dabei handelt es sich um sieben bösartige Apps, die schon einmal aus dem Play Store entfernt wurden, wie das Unternehmen mitteilt

Für die neue Welle haben die dafür verantwortlichen Cyberkriminellen lediglich den Namen der App sowie des angeblichen Herausgebers leicht angepasst. Der Code der App sei jedoch noch derselbe. Bei den Apps handle es sich um sehr unterschiedliche Applikationen - darunter eine Emoji-Tastatur, ein Taschenrechner, eine Verschlüsselungs-App sowie Tools, um Anrufe aufzunehmen oder Speicherplatz freizugeben.

Die Apps würden jedoch nicht wie angepriesen funktionieren, schreibt Symantec. Stattdessen übt sich die Malware in Geduld. Sie lauert, damit das Opfer die App und eventuelle verdächtige Aktivitäten des Smartphones nicht in Zusammenhang bringe.

Nach vier Stunden versteckt sich die Malware nicht länger und wechselt von defensiver zu aggressiver Mimikry: Sie bittet um Admin-Rechte und nutzt dabei Google-Embleme, damit das Opfer die Anfrage für legitim hält. Anschliessend ändert die Malware auch ihr Icon zu einem Google-Symbol, wie etwa das von Google Maps oder von Google Play.

In der aktuellen Version leitet die Malware den Browser um. So landet der irregeführte Nutzer auf Scam-Seiten, die ihm weismachen sollen, er habe bei einem Wettbewerb gewonnen. Das Ziel dahinter: persönliche Daten sammeln und verkaufen. 

11.05.2018 - 17:35 Uhr

POS-Malware wird Open Source

Die Point-of-Sale-Malware Treasurehunter ist bereits seit 2014 im Visier von IT-Sicherheitsexperten. Die Malware befällt Kassensysteme am Verkaufsort (auf Englisch: Point of Sale – POS) und stiehlt Kreditkarteninformationen. Bald könnten derartige Schadprogramme noch viel zahlreicher werden.

Der Quellcode von Treasurehunter wurde unlängst in einem russischsprachigen Forum veröffentlicht, wie IT-Security-Anbieter Flashpoint mitteilt. Der Quellcode für die graphische Benutzeroberfläche sowie für das Admin-Dashboard sind ebenfalls online aufgetaucht. 

Dies senke die Einstiegshürde für Cyberkriminelle, schreibt Flashpoint. Mit den bereitgestellten Source-Codes könnten sie ihre eigenen Varianten der Treasurehunter-Malware entwickeln. Zugleich gibt die Veröffentlichung des Quellcodes jedoch auch Security-Experten eine Chance, ihre Abwehrmassnahmen zu verbessern. 

04.05.2018 - 18:53 Uhr

G Data warnt vor der dunklen Seite … im Umgang mit Datenpannen

(Source: G Data)

(Source: G Data)

Der deutsche Sicherheitsanbieter G Data hat für einen Tag einen neuen Slogan neben seinem Logo: "Trust in Imperial Sicherheit". Nein, es handelt sich dabei nicht um eine neue Marketing-Kampagne. Der Sicherheitsanbieter feiert stattdessen den 4. Mai.

Der 4. Mai ist nämlich Star Wars Day. Nicht, weil der erste Film der Science-Fiction-Reihe ursprünglich an diesem Tag ins Kino kam - das war nämlich am 25. Mai 1977. Sondern weil das Datum auf Englisch ("May the Forth") ähnlich klingt wie der bekannte Wahlspruch aus den Filmen ("May the Force be with you").

G Data nutzt den Star-Wars-Tag, um Tipps für einen besseren Umgang mit Datenpannen zu geben. Denn, wie der Sicherheitsanbieter schreibt, das Imperium weiss nicht, wie Datensicherheit funktioniert.

So sei es etwa nicht sinnvoll, sich ein Beispiel an Darth Vader zu nehmen und die Mitarbeiter zu töten, die schlechte Neuigkeiten überbringen. Viel besser mache es da Kylo Ren, der zerstöre lediglich seinen Computer. 

Mehr Tipps finden sich hier

04.05.2018 - 18:14 Uhr

Intel kommt nicht zur Ruhe

2018 dürfte als das wohl dunkelste Jahr in Intels bisheriger Firmengeschichte eingehen. Anfang des Jahres wurden zwei massive Sicherheitslücken bekannt: Spectre und Meltdown. Die Lücken steckten in der grundlegenden Prozessorarchitektur fast aller modernen Chips. Patches folgten, die Wogen glätteten sich.

Der PR- und vor allem IT-Security-Albtraum ist aber noch nicht vorbei. Sicherheitsforscher entdeckten acht neue Sicherheitslücken in Intel-CPUs, wie das Technikmagazin C’T schreibt. Im Kern seien diese auf dasselbe Design-Problem zurückzuführen. Das Magazin spricht in dem Zusammenhang von Spectre Next Generation – solange sie noch keine eigenen Namen erhalten haben. 

Jede der acht Lücken habe einen eigenen CVE-Eintrag im Verzeichnis aller Sicherheitslücken erhalten und jede erfordere einen eigenen Patch. Vier wurden als "hohes Risiko" eingestuft, das Risiko der restlichen vier als "mittel". Das Bedrohungspotenzial einer dieser Lücken sei jedoch grösser als bei Spectre und könnte auch für Cloud-Hoster zur Gefahr werden.

Das Magazin bestätigte die Lücken in Intels Chips. Einzelne ARM-Prozessoren seien jedoch ebenfalls anfällig. Ob die eng verwandte ARM-Architektur auch betroffen ist, konnte C’T noch nicht ermitteln. Die neuen Lücken zeigen jedoch, dass Spectre und Meltdown keine einmaligen Probleme waren. Prozessorarchitekturen seien eher mit Schweizer Käse zu vergleichen, aufgrund all der Sicherheitslücken.

04.05.2018 - 17:40 Uhr

Twitter speicherte Passwörter in Klartext

Der Mikroblogging-Dienst Twitter musste diese Woche ein kleines Malheur eingestehen. Eigentlich speichere das Unternehmen keine Passwörter von Nutzern in Klartext. Zu diesem Zweck nutzt Twitter eine Hashing-Funktion (bcrypt). Dieser ersetzt die Passwörter mit einer Kombination aus Zahlen und Buchstaben.

Eigentlich. Denn ein Bug hatte sich in diesen Prozess hineingeschlichen, wie Twitters CTO Parag Agrawal in einem Blogeintrag schreibt. Dieser führte dazu, dass die Passwörter in einer internen Log-Datei gespeichert wurden, bevor sie den Hash-Prozess abgeschlossen haben.

Twitter habe das Problem selber entdeckt und auch bereits wieder behoben. Ihre eigenen Untersuchungen seien zu dem Schluss gekommen, dass keine Passwörter entwendet wurden. Dennoch empfiehlt das Unternehmen seinen Nutzern, ihre Passwörter zu ändern und künftig auf eine Zwei-Faktor-Authentifizierung zu setzen. 

04.05.2018 - 17:09 Uhr

Länder werden zur Ransomware-Dateiendung

Die Sicherheitsexperten vom Malware Hunter Team warnen auf Twitter vor einer neuen Ransomware. Es handelt sich dabei um eine neue Ausführung der Xiaoba genannten Erpressersoftware.

Hat die Ransomware einmal einen Rechner infiziert, verschlüsselt sie Dateien und verpasst ihnen die Dateiendung ".china". Laut dem Malware Hunter Team ist das wohl die erste Ransomware, die einen Ländernamen als Dateiendung nutzt. 

Mehr Infos gibt's in der Malware-Datenbank Virustotal.

02.05.2018 - 17:45 Uhr

Check Point findet Code von Trend Micro in nordkoreanischer AV-Lösung

Das Ganze klingt ein wenig wie der Anfang eines Thrillers. Der israelische Sicherheitsanbieter Check Point machte einen interessanten Fang – und fand darin etwas noch Interessanteres.

Das Unternehmen erhielt eine seltene Kostprobe der nordkoreanischen Anti-Virus-Lösung (AV) Silivaccine, wie Check Point in einem Blogeintrag schreibt. Die Kostprobe kam vom freien Journalisten Martyn Williams. Williams seinerseits erhielt die Software als Zip-Datei via Dropbox – den Link dazu bekam er per E-Mail von einem gewissen Kang Yong-hak.

Der Absender – der sich trotz des koreanischen Namens als japanischer Ingenieur ausgab – ist unterdessen nicht mehr erreichbar. Seine Mailbox wurde deaktiviert. Die Zip-Datei beinhaltete neben der AV-Software auch eine Readme-Datei auf Koreanisch sowie einen angeblichen Update-Patch. Dabei handelte es sich jedoch um die Malware Jaku, die genutzt wird, um Botnetze zu erschaffen.

Vertrauter Code in fremder Lösung

Als sich der Sicherheitsanbieter in den Code der AV-Lösung vertiefte, kam ihm einiges bekannt vor. Die Entwickler von Silivaccine kopierten laut dem Bericht ganze Code-Blöcke von Trend Micro, einem japanischen Konkurrenten von Check Point.

Trend Micro bestätigt in einem Statement gegenüber Check Point, dass die Softwareprobe eine über zehn Jahre alte Version seiner Scan-Engine nutzt. Diese sei weit verbreitet und werde in vielen Produkten genutzt – auch von Drittanbietern.

Trend Micro betont, dass das Unternehmen in oder mit Nordkorea keine Geschäfte mache und dass ihre Technologie illegal genutzt werde. Rechtlich gegen Silivaccine vorgehen will das Unternehmen dennoch nicht – das sei nicht produktiv.

Die Entwickler von Silivaccine nahmen jedoch eine bewusste Änderung an Trend Micros Code vor. Silivaccines Version des Scan-Moduls ignoriert eine bestimmte Signatur, die sie normalerweise blockieren würde. Worum es sich dabei handelt, kann Check Point zwar nicht sagen. Doch es sei klar, dass das nordkoreanische Regime nicht wolle, dass seine Bürger darüber Bescheid wüssten.

27.04.2018 - 20:03 Uhr

Europol nimmt grössten Anbieter von DDoS-as-a-Service vom Netz

Bis vor kurzem konnte man auf Webstresser.org noch DDoS-Attacken ab 15 Euro pro Monat kaufen. Die Abkürzung steht für Distributed Denial of Service. Dabei wird ein Webdienst mit derart vielen Anfragen überhäuft, dass er den Dienst quittieren muss. In den letzten Jahren nahm die Stärke der Attacken drastisch zu. Mittlerweile erreichen sie Bandbreiten von bis zu 1,7 Terabit pro Sekunde - genug um eine Website regelrecht vom Netz zu fegen. Waren früher noch gewisse IT-Fähigkeiten notwendig für derartige Attacken, können Böswillige mit tiefen Taschen sie heutzutage auch auf diversen Marktplätzen einfach kaufen. 

Webstresser.org gehörte zu den grössten Marktplätzen dieser Art, wie Europol mitteilt. Die Plattform zählte mehr als 136'000 registrierte Benutzer. 4 Millionen DDoS-Attacken sollen hier ausgehandelt worden sein. Diese richteten sich gemäss Mitteilung gegen kritische Online-Dienste, Finanzinstitute, Regierungseinrichtungen, Polizeikräfte und gegen Ziele in der Gaming-Industrie.

In einer koordinierten internationalen Aktion von Europol und verschiedenen lokalen Polizeieinheiten wurde den Drahtziehern hinter dem Marktplatz nun der Stecker gezogen. Die Infrastruktur wurde beschlagnahmt. Die Administratoren lebten im Vereinigten Königreich, Kroatien, Kanada und Serbien. Zugleich gingen die Strafverfolgungsbehörden in mehreren Ländern aber auch gegen die grössten Kunden der DDoS-Plattform vor: darunter die Niederlande, Italien und Spanien.

Wer DDoS-Attacken ausführt, ermöglicht oder als Dienst verkauft, muss gemäss Mitteilung mit Geld- und Haftstrafen rechnen. 

 

27.04.2018 - 18:50 Uhr

老大哥 is watching you

Der Roman 1984 von George Orwell beschreibt eine dystopische Zukunft, in der ein Staat jeden einzelnen Schritt seiner Bürger überwacht. Die mittlerweile ubiquitäre Phrase "Big Brother is watching you" hatte ihren Ursprung in dem Roman. Orwell schrieb das Buch vor rund 70 Jahren. Die Geschichte gewinnt aber immer mehr an Relevanz. Jüngstes Beispiel: China. Während die EU mit der EU-DSGVO (beziehungsweise GDPR) gerade den Datenschutz verschärft, testet die chinesische Regierung in Shanghai und Chongqing die totale Überwachung. 

Die Regierung überwacht etwa Kreuzungen mit Videokameras, damit keiner ungesehen bei rot über die Strasse wandert, wie die SRF Rundschau berichtet. Die Regierung habe aber auch auf die Daten privater Firmen Zugriff - darunter der Internetgigant Alibaba und dessen mobile Bezahllösung Alipay. So kann die Regierung also auch verfolgen, wofür ihre Bürger ihr Geld ausgeben. 

Das offizielle Ziel: bessere Bürger schaffen. Gutes Verhalten soll belohnt werden, schlechtes geahndet. Die Bürger erhalten laut dem SRF-Beitrag sogenannte "Sesame Credits". Diese sind öffentlich einsehbar und reichen von 300 bis 900. Mehr Punkte, mehr Vorteile. Personen mit einem tiefen Kredit sollen in ihrer Bewegungsfreiheit eingeschränkt werden. Sie dürfen etwa nicht mehr mit dem Zug fahren oder Flüge buchen.

Wie der Bericht zeigt, büssen die Bürger ihre Credits aber auch ein, wenn sie nicht der politischen Linie der Kommunistischen Partei Chinas folgen. 1984, das Buch von Orwell sei unterdessen verboten worden in China. 

27.04.2018 - 17:52 Uhr

Die grössten Malware-Bedrohungen in der Schweiz im März

 

Die Sicherheitsexperten des israelischen IT-Security-Anbieters Check Point haben eine Liste zusammengestellt mit der am stärksten verbreiteten Malware in der Schweiz. Die Liste zeigt die Top-Malware des Monats März. Gleich drei Crypto Miner haben es unter die Top 10 geschafft.

Dabei handelt es sich um Javaskripte, die sich in Websites und Applikationen verbergen lassen. Ohne Mitwissen der Opfer, zapfen sie die Rechenleistung der infizierten Geräte an, um nach Kryptowährungen zu schürfen. Das Opfer zahlt die Stromkosten für einen Rechner, den eventuell gar nicht nutzen kann und der Hacker verdient sich eine goldene Nase.

Die Top 10 gemäss Check Point:

  1. Coinhive (Crypto Miner)
  2. Rig EK (Exploit Kit)
  3. Cryptoloot (Crypto Miner)
  4. Roughted (Malvertising)
  5. Jsecoin (Crypto Miner)
  6. Necurs (Botnet)
  7. Fireball Adware)
  8. Virut (Botnet)
  9. Andromeda (Botnet/Backdoor)
  10. Conficker (Computerwurm)

Die Nummer 10, der Computerwurm Conficker (auch bekannt als Downadup), ist erstaunlicherweise bereits seit 10 Jahren aktiv. Obwohl der Wurm eine Schwachstelle nutzt, die bereits ebenso lange gepatcht ist. In ihrem jüngsten Halbjahresbericht widmete sich die Melde- und Analysestelle Informationssicherung ebenfalls dem Computerwurm Conficker.

 

 

Webcode
SecurityBlog

Kommentare

« Mehr