Im Dezember 2008 gelang der Malware-Szene ein spektakulärer Angriff auf alle Versionen des Microsoft Internet Explorer: Über ein JavaScript auf verschiedenen Webseiten wurde eine Schwachstelle des Browsers ausgenutzt, für die zum damaligen Zeitpunkt noch kein Sicherheitspatch bereitstand. Dieser "Zero-Day Exploit" führte dazu, dass die Browser der Besucher auf andere Webseiten umgeleitet und letztendlich Malware heruntergeladen wurde. Dabei handelte es sich zumeist um Varianten von TSPY_ONLINEG, die schon früher eingesetzt wurden, um Daten von chinesischen Online-Spielern zu stehlen. Eine weitere Spur führt nach China. Das für den Angriff eingesetzte Toolkit wird dort innerhalb einer Untergrund-Community gehandelt. Im Gefolge des ersten Angriffs stürzte sich die Malware-Szene auf die Browser-Schwachstelle: Per SQL-Injection wurde der JavaScript-Code in unterschiedlichste Webseiten eingefügt.
Aber auch für die Nutzer des Browsers Firefox (Marktanteil 20,8 Prozent im November 2008, Quelle: Computerworld) hielt der Dezember eine unangenehme Überraschung bereit: Trend Micro entdeckte mit TROJ_DROP.BP eine als Firefox-Addon getarnte Malware, die sich speziell gegen diesen Browser richtet. Bei der Infektion wird Spyware zur Überwachung von URL-Eingaben auf dem betroffenen System installiert. Diese sucht nach bestimmten Zeichenfolgen, die mit Online-Banking in Verbindung stehen. Wird eine derartige Zeichenfolge gefunden, zeichnet die Spyware sensible Login-Informationen auf und versendet sie unbemerkt.
Die Angriffe auf Internet Explorer und Firefox zeigen erneut, dass herkömmliche Sicherheitslösungen angesichts der immer raffinierteren und schnelleren Web Threats an ihre Leistungsgrenzen stoßen. Daher sind Ansätze wie das Trend Micro Smart Protection Network notwendig, das Informationen aus unterschiedlichsten Quellen korreliert und Schutz in Echtzeit bietet. Durch die Blockade von gefährlichen URLs, E-Mails und Dateien können Infektionsketten wirksam unterbrochen werden.
Alle Jahre wieder: Falsche Weihnachtsgrüße verbreiten Malware
In der Weihnachtszeit fanden Computernutzer wieder massenhaft gefälschte "elektronische Grußkarten" in ihrem Posteingang. Meist wurden die Empfänger aufgefordert, eine Webseite zu besuchen, um den Weihnachtsgruß herunterzuladen bzw. darstellen zu lassen. Die Seite, auf die der Link weist, wurde erst im Dezember gestartet und enthält neben funktionslosen Schaltflächen nur eine einzige anklickbare Grafik. Über sie wird der Download einer ausführbaren Datei gestartet, die Trend Micro als TROJ_GENETIK.TI identifiziert. Durch das Trend Micro Smart Protection Network sind Anwender sofort auf dreifache Weise geschützt: Sowohl die mit dem Angriff in Verbindung stehenden Spam-E-Mails und URLs als auch die Malware-Datei werden erkannt und blockiert.
Anstieg beim Dating-Spam im Dezember
Zusätzlich zu den alljährlichen Weihnachtsgrüßen verzeichnete Trend Micro im Dezember 2008 einen ungewöhnlichen Anstieg bei "Dating-Spam". Die eingesetzte Methode ist alt: Angebliche Verehrer/Verehrerinnen laden den Empfänger zum Chat und E-Mail-Austausch ein. Diese neuerliche Spam-Welle scheint nicht direkt mit einem Malware-Angriff in Verbindung zu stehen, ist aber trotzdem eine Belästigung und wird vom Trend Micro Smart Protection Network ebenfalls blockiert. Über die Frage, warum Spammer ausgerechnet zur Weihnachtszeit verstärkt auf Dating-Spam setzen, kann nur spekuliert werden. Vielleicht sind Anwender mittlerweile stärker für jahreszeitliche Aufhänger sensibilisiert, sodass die Spam- und Malware-Szene nach alternativen Wegen suchen muss.
Anti-Social-Networking trifft Nutzer von Friendster
Nach den Angriffen auf populäre Social-Networking-Seiten wie Facebook hat es im Dezember die Nutzer von Friendster getroffen, einem vor allem in Asien sehr beliebten sozialen Netzwerk. Über das interne Messaging-System von Friendster wurden einige Anwender darauf hingewiesen, dass sie angeblich ein neues Video erhalten hätten. Der angegeben Link führt zu einer Seite namens "YuoTube" - offensichtlich ein weiterer Täuschungsversuch. Hier wird der Besucher zur Installation eines aktualisierten Video-Players aufgefordert, bei dem es sich in Wirklichkeit um eine ZLOB-Variante handelt. Bereits seit November 2008 registriert Trend Micro verstärkt Angriffe auf Social-Networking-Seiten. Ein Grund dafür ist wahrscheinlich, dass Anwender viel Vertrauen in die Nachrichten haben, die sie über die internen Messaging-Systeme erhalten.
Weitere Informationen zu aktuellen Web-Bedrohungen sind unter http://blog.trendmicro.com/ verfügbar.