Gut gerüstet für eine kriminelle Zukunft

Einblick in Koobface: Perfekt für Angriffe auf Social-Networks

11. August 2009, 13:04 Uhr | Werner Veith
Die »CAPTCHA Breakers«-Komponente von Koobface löst mit Hilfe des Anwenders auf dem infiziertem Rechner das Bilderrätsel, um das Ergebnis an anderer Stelle weiter zu verwenden.

Mit Koobface kommt eine Malware, die ihre Konstrukteure genau auf den Einsatz in Social-Networks abgestimmt haben. Experten von Trend Micro haben sich den raffinierten Schädling genauer angesehen.

Social-Networks liegen voll im Trend. Und sie sind genau für das gemacht, was Internet-Krimelle auch tun, um Internet-Nutzer zu locken: Sie verbreiten Nachrichten an andere. Daher liegt es nahe, Social-Networks-Accounts zu infizieren, und für die eigenen Zwecke zu missbrauchen. Der Austausch von Nachrichten in Social-Networks nimmt dabei – etwa bei bestimmten Ereignissen wie der Wahl im Iran – auch ohne eine Infektion virale Züge an. Dies spielt den Krimellen in die Hände.

Allerdings gibt es ein Problem dabei: Es gibt sehr viele verschiedene Netze wie Facebook, Twitter oder MySpace. Ein Schadcode für alle würde den Rahmen sprengen. Es gibt jedoch die Malware »Koobface«, die dieses Problem erschreckend gut löst. Experten von Trend Micro haben sich den Aufbau genauer angesehen.

Alles beginnt damit, dass der Nutzer eine Nachricht in seiner Social-Network-Inbox bekommt, die auf einen Link eine Website enthält, die sich als YouTube-Seite tarnt. Fällt er darauf herein, wird eine Exe-Datei mit Koobface-Downloader heruntergeladen. Damit nimmt das Verhängnis seinen Verlauf.

Der Downloader enthält nicht die einzelnen Schadfunktionen: Er ist dafür verantwortlich, dass die gewünschten nachgeladen werden. Koobface hat seine Schadfunktionen in einzelne Komponenten ausgegliedert. Diese gibt es für die verschiedene Social-Networks, eine Botnet-Integration, Datendiebstahl, Web-Search-Hijacking oder DNS-Manipulation.

Der Downloader nimmt nun Kontakt zum »Koobface Command & Control« (C&C) Kontakt auf. Dieses entscheidet, welche Komponenten nachgeladen werden sollen. Der Downloader prüft nun anhand der auf dem Rechner vorhandenen Cookies, in welchen Social-Networks sich der Anwender bewegt. Derzeit kennt Koobface Facebook, MySpace, Hi5, Friendster, myYearbook, Tagged, Bebo, Netlog, fubar und Twitter. Die Social-Network-Komponente nimmt nun von C&C Nachrichten entgegen und leitet sie ins Netzwerk weiter.


  1. Einblick in Koobface: Perfekt für Angriffe auf Social-Networks
  2. Einblick in Koobface: Perfekt für Angriffe auf Social-Networks (Fortsetzung)

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+