Woche 24: Schweizer Mac-Nutzer im Visier
Ransomware-Autor pfuscht beim Programmieren, Fake News gibt’s auch as-a-Service und eine abgelaufene Domain wird zum Einfallstor für Smartphones. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.
Mac-Nutzer brauchen Malware nicht zu fürchten? Oh doch! Das findet zumindest die Melde- und Analysestelle Informationssicherung (Melani). Einige Cyberkriminelle hätten es derzeit nicht nur spezifisch auf Mac-Nutzer abgesehen, sondern sogar auf Schweizer Mac-Nutzer.
Der Angriff erfolgt in zwei Schritten, wie Melani schreibt. Der erste ist relativ harmlos. Die Cyberkriminellen verschicken eine Welle von Spam-Mails. Diese gaukeln oft vor, von bekannten Firmen zu kommen. In der Mail ist ein winzig kleines Bild – 1 x 1 Pixel gross.
Wird dieses Bild heruntergeladen, baut es eine Verbindung mit dem Server des Angreifers auf, auf dem das Bild abgespeichert ist. Danach übermittelt es verschiedene Informationen, darunter auch Informationen zum Betriebssystem. Der Cyberkriminelle kann nun der E-Mail-Adresse also auch ein OS zuordnen.
Anschliessend kommt der gerichtete Teil der Malware-Kampagne. Hierfür verschicken die Angreifer erneut Spam. Wieder scheinen die E-Mails von bekannten Unternehmen zu kommen. Dieses Mal hat die E-Mail jedoch eine Zip-Datei im Anhang.
Darin steckt eine auf MacOs zugeschnitte Version des Banking-Trojaners Retefe. Der Trojaner ist in der Schweiz bestens bekannt – bislang griff er jedoch nur Windows-Geräte an. Zuletzt im vergangenen Dezember, wie Melani damals mitteilte.
Malware-Autoren machen auch mal Malheure
Ransomware ist auch nicht mehr das, was es mal war. Die jüngsten Ausführungen dieser Erpresserprogramme konzentrieren sich auf schrille Benutzeroberflächen. Dabei vernachlässigen sie jedoch den Code, wie das Nachrichtenportal Bleepingcomputer schreibt.
Das jüngste Beispiel: die wenig verbreitete Ransomware Executioner. Der Autor stümperte angeblich herum, als er das Erpresserprogramm mit dem ominösen Namen programmierte. Insbesondere die Verschlüsselungsroutinen hätte er verpatzt.
Dass die Ransomware nicht sonderlich ausgeklügelt ist, erkennt man auch an dessen Kommunikationssystem. Das Schadprogramm kontaktiert nicht wie üblich einen Command-and-Control-Server. Es informiert den Drahtzieher der Kampagne stattdessen per E-Mail.
Executioner basiert auf dem Ransomware-Bastel-Kit EDA2. Die Variante sei aber leicht zu entschlüsseln. Tatsächlich seien just die Modifikationen des Autors dafür verantwortlich, dass sich die Verschlüsselung so leicht knacken lasse.
Domain abgelaufen – Einfallstor zum Smartphone geöffnet
Es muss nicht immer ein Fehler im Code sein, der Smartphones angreifbar macht. Es genügt, eine Domain auslaufen zu lassen. Das behauptet jedenfalls der Sicherheitsexperte João Gouveia, CTO bei Anubis Labs, und legte sich damit mit Samsung an, wie Motherboard.com berichtet.
Der koreanische Hersteller steht nämlich im Mittelpunkt dieser Geschichte. Das Unternehmen hatte früher auf seinen Geräten eine App namens S Suggest vorinstalliert. Diese schlug dem Nutzer neue Apps vor, die ihn interessieren könnten.
Die App wurde durch die Domain ssuggest.com gespeist. Eben diese lies Samsung auslaufen, da der Hersteller die App 2014 eingestellt hatte. Gouveia schnappte sie sich daraufhin. 2,1 Millionen Geräte hätten zu dem Zeitpunkt noch versucht, auf die Domain zuzugreifen.
Hätte ein Anderer die Rechte an der Domain gekauft, hätte er direkten Zugriff auf all diese Geräte gehabt, behauptet Gouveia. Die App hätte die nötigen Berechtigungen, um weitere Apps auf dem Gerät zu installieren – also auch Malware.
Samsung sieht das jedoch anders. In einer Stellungnahme gegenüber Motherboard widerspricht der Hersteller dem Sicherheitsexperten. Die Kontrolle über die Domain gewähre noch keine Kontrolle über die Geräte. Schadprogramme könne man so auch nicht installieren.
Und auch Fake News kann man as-a-Service beziehen
Es gibt nichts, dass es nicht auch als Dienstleistung gibt. Das gilt auch für Cybercrime. Spam-Mail-Kampagnen kann man schon lange kaufen. Botnetze für DDoS-Attacken braucht man auch nicht mehr selbst aufzubauen. Und auch für Ransomware ist kein Know-How mehr nötig, solange man ein gefülltes Portemonnaie hat.
Der Sicherheitsanbieter Trend Micro hat sich diese Woche allerdings mal einem anderen Phänomen gewidmet: Fake News. Die falschen Schlagzeilen machten vor allem damals Schlagzeilen, als Donald Trump zum Präsidenten der Vereinigten Staaten gewählt wurde. Seitdem flaute die Diskussion um die falschen Nachrichten nie mehr wirklich ab.
Im Internet gibt es mittlerweile alles, was das Herz eines jeden unseriösen Nachrichtenverbreiters begehrt – und alles wird als Dienstleistung angeboten. Einige bieten an, Onlineumfragen mit den gewünschten Antworten zuzumüllen. Andere pöbeln Betreiber von Websites an und fordern diese auf, bestimmte Beiträge wieder zu entfernen.
Wie derartige Fakes-News-Dienste genau funktionieren, erklärt Trend Micro ausführlich in einer Studie. Diese ist online kostenlos als PDF erhältlich. Eine Preisliste von Fake-News-Diensten ist ebenfalls Teil der Dokumentation.