Dipl.-Inform. Carsten Eilers

Die Berliner Polizei warnt vor Angriffen auf das mTAN-Verfahren. In den bekannt gewordenen Fällen nutzten die Opfer Android-Smartphones, auf denen ein Trojaner die empfangene mTAN ausgespäht hat. Über solche Angriffe hatte ich bereits am 14. Juli und am 19. September 2011 berichtet.

Für die am weitesten verbreiteten Onlinebanking-Trojaner Zeus und SpyEye gibt es seit einiger Zeit Smartphone-Ableger, und die machen jetzt anscheinend Karriere. Falls Ihre Bankenwebsite sie also zur Installation eines Sicherheitsupdates (oder was auch immer) auf Ihrem Handy auffordert, sollten Sie misstrauisch werden. Die Wahrscheinlichkeit, dass Ihre Rechner mit einem Trojaner infiziert ist, der sich nun auch auf Ihr Smartphone schleichen will, ist signifikant größer als die, dass Ihre Bank wirklich ein Update für Ihr Smartphone veröffentlicht hat. Geschätzt würde ich sagen, die Wahrscheinlichkeit steht ungefähr 99,999... für eine Infektion zu quasi nicht messbar für ein Update von Ihrer Bank.

Angriffe auf Mac-nutzende tibetische Aktivisten

Es gibt neue Angriffe auf tibetische Aktivisten, die Macs benutzen. Die gab es zum Beispiel im Sommer dieses Jahres schon mal, und auch davor gab es immer wieder entsprechende Angriffe. Das größte Problem dabei sind mal wieder die verschiedenen Namen, wie auch F-Secure bemerkt hat: Dort heißt der Dropper Revir, die davon installierte Payload Imuler. Die unterschiedlichen Namen erschienen bei der ersten Entdeckung des Schädlings nötig, da Revir unter Umständen auch andere Schadsoftware hätte installieren können. Bisher ist aber nur die Kombination Revir/Imuler bekannt, entsprechend heißt der Schädling zum Beispiel bei Intego nur Imuler.

Wie üblich wird der Schädling über Social Engineering eingeschleust, als Lockvogel dienen diesmal Fotos tibetischer Organisationen. Das kann aber jederzeit angepasst worden, in der Vergangenheit wurden auch schon sexy Fotos und präparierte PDF-Dokumente verwendet. Als möglicher Angreifer bleibt mal wieder nur China übrig. Wer sonst sollte ein Interesse daran haben, tibetische Aktivisten auszuspionieren? Cyberkriminelle würden denen sicher "nur" einen Onlinebanking-Trojaner unterjubeln. Oder Ransomware, die gibt es inzwischen auch für Windows 8:

Angriffe auf Windows 8

Symantec hat eine sensationelle Entdeckung gemacht: "Windows 8 Not Immune to Ransomware". Wow! Nur: Wie kann man überhaupt auf die Idee kommen, irgend ein System sei gegen Ransomware immun?

Windows 8 dürfte das Einschleusen von Schadsoftware vielleicht schwieriger machen, unmöglich wird es bestimmt nie. Und Schadsoftware umfasst dann natürlich das komplette Programm von Scareware über Ransomware zu Spyware und so weiter.

Und notfalls reicht ja auch die Drohung mit irgend etwas Üblen, um manche Benutzer zur Zahlung zu bewegen, dafür muss nicht mal Schadsoftware installiert werden. Es gibt sicher genug Benutzer, die auf die Warnung "Wenn Sie nicht [beliebiger Betrag] zahlen, wird Ihr Computer zerstört" als Web Notification (dazu irgendwann mal mehr in einem Grundlagentext) mit einer entsprechenden Zahlung reagieren. Ob das dann noch Ransomware ist, ist natürlich eine andere Frage.

Angriffe mit Blackhole

Auch zum Exploit-Kit Blackhole gibt es Neuigkeiten: Microsoft hat festgestellt, dass die Angriffe über Blackhole (das dort "Blacole" genannt wird, sieht sehr nach einem Tippfehler aus, der sich verselbständigt hat) stark zugenommen haben. Da trifft es sich doch, dass es eine neue Version des Kits gibt. Und gleich noch einen Ableger (oder etwas eine Raubkopie) namens "Cool Exploit Kit", die verdächtig viele identische Teile verwendet. Aber egal ob Cool nun ein legaler oder illegaler Ableger von Blackhole ist: Die Anzahl der damit infizierten Websites dürfte sich allein dadurch nicht ändern. I.A. werden die nämlich nur mit einem Exploit-Kit präpariert, und ob das nun Blackhole oder Cool heißt, ist ziemlich egal. Zumal es ja noch etliche weitere Exploit-Kits gibt, zum Teil sogar frei im Internet verfügbar.

Angriffe auf Java

Egal ob Blackhole oder Cool: Beide enthalten einen neuen Exploit für eine im Oktober von Oracle geschlossene Schwachstelle in Java (CVE-2012-5076). Und auch in einer ganzen Reihe weiterer Exploit-Kits ist der Exploit bereits enthalten. Eine Analyse der Schwachstelle wurde von Microsofts Malware Protection Center veröffentlicht.

Die gute Nachricht: Diesmal ist nur Java 7 betroffen, Java 6 enthält die Schwachstelle nicht. Und für Java 7 gibt es seit Oracles Oktober-Patchday ein Update, dass die Schwachstelle korrigiert. Falls Sie das noch nicht installiert haben, wird es jetzt höchste Zeit. Und da Java zur Zeit das Lieblings-Angriffsziel der Cyberkriminellen zu sein scheint sollten Sie damit in Zukunft nicht mehr so lange zögern. Sonst könnte es passieren, dass die Cyberkriminellen über eine frisch behobene Schwachstelle einen Schädling auf Ihren Rechner installieren, bevor Sie den Patch für die Schwachstelle installiert haben.

Nicht Neues zur Adobe Reader X 0-Day-Schwachstelle

Immer noch keine Neuigkeiten gibt es zur angeblichen 0-Day-Schwachstelle im Adobe Reader X, die seit der ersten November-Woche bekannt ist. Hat Adobe den Exploit immer noch nicht erhalten? Dann sollten sie sich notfalls den Exploit-Kit, der ihn enthält, einfach kaufen. Am Geld sollte das doch wohl nicht scheitern. Oder ist man immer noch mit der Untersuchung beschäftigt? Ob der Exploit funktioniert oder nicht sollte sich in ein paar Minuten feststellen lassen, und auch ob er aus der Sandbox ausbricht oder nicht sollte schnell zu prüfen sein. Wieso gibt es immer noch keine Warnung oder Entwarnung? Hofft man, dass der Vorfall vergessen wird? Sehr merkwürdig, das Ganze. Immerhin geht es hier um eine absolute Neuheit, einen Exploit, der aus der Sandbox von Adobe Reader X ausbricht. Das kann man nicht mehr unter den Teppich kehren, wieso also keine offensive Informationspolitik? Zumindest ein "Wir untersuchen den Vorfall noch, das dauert etwas länger weil [Begründung oder Ausrede nach Wahl]" sollte doch drin sein.

Carsten Eilers