So verdient der Untergrund mit Scareware
Der amerikanische Sicherheitsspezialist Brian Krebs liefert in seinem Blog eine interessante Analyse, welche Umsätze durch das Verteilen von Scareware (auch Rogue Antivirus-Software genannt) möglich sind. Laut Krebs bekommen die Betreiber der Seiten, die die Scareware-Installer verteilen, zirka einen US-Dollar pro erfolgreicher Installation. Manche „Filialen“ von avprofits.com, einer der größten Verteiler von Rogue Antivirus-Software, bringen es laut Blog-Eintrag auf über 1000 Installationen pro Tag.
In aller Regel werden die Installer laut Krebs über Porno-Webseiten oder zusammen mit raubkopierter Software verteilt. In letzterem Fall wird die Scareware einfach mit installiert. Einmal aktiv, warnt die gefälschte Antiviren-Software den PC-Besitzer durch ständig neue Pop-up-Fenster vor vermeintlichen Malware-Infektionen. Gleichzeitig verweisen die Fenster auf eine kostenpflichtige Antiviren-Software – die natürlich wirkungslos ist, da der PC ja bislang nicht infiziert wurde – die den verseuchten Computer wieder reinigen soll.
Eine andere Verteilungsmöglichkeit ist die Nutzung von Schwachstellen in beliebten Webseiten. In meinem Artikel Aktueller Angriff gegen Wordpress, Joomla und Co. beschrieb ich eine vor einem Monat rollende Angriffswelle gegen PHP-basierende Webseiten auf Linux. Es handelt sich dabei nicht um einen isolierten Vorfall. Derartige Angriffe laufen permanent - auch gegen ASP.Net-basierende Webseiten auf Windows. Die Kriminellen versuchen dabei regelmäßig, vom Anwender falsch gesetzte Berechtigungen (755 oder 777 bei Linux) auf dem Webserver, schwache oder durch Desktop Malware oder Keylogger ausgelesene Kennworte, SQL-Injection, falsche Systemkonfigurationen bei Webhostern, etc. auszunutzen. Hier einige Beispiele aus den letzten Wochen von Sucuri Security und WPSecurityLock:
- 11.06.2010 Mass infection of IIS/ASP sites – 2677.in/yahoo.js
- 09.06.2010 WordPress Hacked with cloudisthebestnow on Go Daddy
- 08.06.2010 Mass infection of IIS/ASP sites – robint.us
- 17.05.2010 WordPress Hacked with losotrana on Go Daddy
- 16.05.2010 Spam Links Infect WordPress Websites
- 12.05.2010 WordPress Hacked with holasionweb on Go Daddy!
- 07.05.2010 WordPress Hacked with Zettapetta on DreamHost
- 03.05.2010 WordPress Hacked on Network Solutions
- 01.05.2010 Dangerous Malware Alert - Self-Hosted Sites On Major Hosting Service Hacked Again!
- 26.04.2010 Cechirecom.com.js.php - WordPress Hacked
- 25.04.2010 WordPress Blogs Hacked Again (Corpadsinc.com) - Network Solutions
- 22.04.2010 Ninoplas Base64 WordPress Hacked on Godaddy
- 16.04.2010 WordPress Site Hacked - Ninoplas Base64 Virus
Ich bin bei der Suche nach einem Prozessorupgrade für meinen Homeserver auf eine derartige Scareware gestoßen und habe das Verhalten einmal protokolliert. Im Video unten (Download hier möglich) sieht man, wie ich nach einer Google-Suche auf die Webseite homeservershow.com gehen möchte. Bei dieser Webseite handelt es sich um eine reguläre Webseite von Home Server Fans, die Anfang Mai kompromittiert wurde und ein Scareware-Script enthielt. Besucher bekamen die Scareware nur angezeigt, wenn sie über die Google Ergebnisseite auf homeservershow.com gingen. Damit versuchen die Kriminellen den Administratoren oder regulären Nutzern der Webseite das Bemerken der Manipulation zu erschweren, da diese meist über den direkten Aufruf ihre Webseite besuchen und das Script dann nicht ausgeführt wird.
Das Script prüfte auf den Referrer und setzte gleichzeitig einen Cookie, damit jeder Besucher die Scareware nur einmal angezeigt bekommt. Versucht man den Weg ein zweites Mal zu gehen, versteckt sie sich und man bekommt homeservershow.com ganz normal angezeigt. Das Script prüft weiterhin anhand des Useragents, ob es sich bei dem Besucher um einen Webcrawler von Google oder Yahoo handelt. Es verbirgt sich vor diesen, damit die Webseite nicht im Suchindex gesperrt oder durch Malwarefilter in Webbrowsern geblockt wird.
Die Scareware versucht dann auf vielfältige Art und Weise den Besucher dazu zu bringen, die angebotene Datei – welche natürlich Malware enthält – herunterzuladen und zu installieren. Ganz wichtig an dieser Stelle: Es wird in der Regel gar nicht mehr versucht, eine Schwachstelle auf dem Clientcomputer auszunutzen. Der Angriff zielt in der Regel auf die Schwachstelle vor dem Computer ab: Den Anwender.
Was im Video natürlich auffällt, ist die Tatsache, dass die Scareware in diesem Beispiel Windows XP simuliert. Sowas passt nicht zu einem Windows 7-basierenden Rechner. Allerdings habe ich derartige Scareware auch schon Windows 7 simulieren sehen und es wird nur eine Frage der Zeit sein, dass die Scareware-Programmierer aus dem Useragent auch das Betriebssystem auslesen und sich an Windows XP, Windows 7 oder Mac OS X automatisch anpassen.
Wie Krebs weiter ausführt, wird Opfern aber nicht nur die Scareware auf den Rechner geschickt, sondern allzu oft auch die Malware Zeus. Zeus, oder auch Zbot genannt, gehört zu den Passwortdieben unter den Trojanern. Die Scareware-Opfer werden also nicht nur um den Betrag für die nutzlose Antivirensoftware gebracht, sondern von nun an auch noch belauscht. Dem Blog von Brian Krebs zufolge erkannten nur 16 von 42 legitimen Virenscannern, dass der zu installierende Mix aus Scareware und Zeus gefährlich ist.
Die niedrige Erkennungsrate erklärt die hohe Erfolgsquote des Scareware-Installers: Rund vier Prozent derer, denen das Paket auf den Rechner geschickt wird, kaufen anschließend die gefälschte Antiviren-Software. Auch in diesem Fall kassieren die Verteiler der Schadsoftware eine Provision – und erhöhen ihren Umsatz auf 1650 Dollar an guten Tagen.
(Quelle: Microsoft Sicherheits-Newsletter)
[Video]